Zwei Schwachstellen in GitHub Enterprise

- Warnmeldung

Die CSBW warnt vor zwei Sicherheitslücken in der Software GitHub Enterprise. Das Entwickler-Team stellt abgesicherte Versionen zur Verfügung.
Handy mit GitHub Logo und Code im Hintergrund

© Rafael Henrique - stock.adobe.com

Updates schließen Schwachstellen

Am 10. Oktober 2024 meldete das Entwickler-Team von GitHub Enterprise, zwei Sicherheitslücken in der Software behoben zu haben:

  • Die kritische Schwachstelle CVE-2024-9487 hat einen CVSS-Score von 9.5/10 und ermöglicht Angreifenden, Authentifizierungsmechanismen wie Single Sign On (SSO) zu umgehen. So könnten die Kriminellen uneingeschränkten Zugriff auf GitHub-Instanzen erhalten. 
  • Die als mittel eingestufte CVE-2024-9539 mit einem CVSS-Score von 5.7/10 erlaubt Angreifenden, Dateien und sensible Informationen offenzulegen und abzugreifen.

CVE-2024-9487 betrifft alle GitHub-Enterprise-Versionen vor Version 3.15 und CVE-2024-9539 alle Versionen unterhalb von 3.14. Mit den Versionen 3.11.16, 3.12.10, 3.13.5 und 3.14.2 stellt das Entwickler-Team abgesicherte Versionen bereit.

Empfehlung

Installieren Sie umgehend die zu Ihrer Konfiguration passende GitHub-Enterprise-Version 3.11.16, 3.12.10, 3.13.5 oder 3.14.2.