GitHubはこのほど、「Release notes - GitHub Enterprise Server 3.12 Docs」において、GitHub Enterprise Serverから緊急の脆弱性が発見されたと発表した。この脆弱性を悪用すると、SAMLシングルサインオン(SSO: Single Sign On)を使用するインスタンスにおいて、SAMLレスポンスを偽造してサイト管理者権限を持つユーザーのプロビジョニングやアクセスを取得可能とされる。
-
Release notes - GitHub Enterprise Server 3.12 Docs
脆弱性の情報
脆弱性の情報(CVE)は次のとおり。
- CVE-2024-4985 - 認証バイパスの脆弱性。攻撃者は事前の認証を必要とせずにインスタンスへの不正アクセスが可能
脆弱性が存在する製品
脆弱性が存在するとされる製品およびバージョンは次のとおり。
- GitHub Enterprise Server 3.13.0より前のバージョン
脆弱性が修正された製品
脆弱性が修正された製品およびバージョンは次のとおり。
- GitHub Enterprise Server 3.9.15
- GitHub Enterprise Server 3.10.12
- GitHub Enterprise Server 3.11.10
- GitHub Enterprise Server 3.12.4
対策
この脆弱性の深刻度は緊急(Critical)と評価されており注意が必要。該当する製品を運用している管理者は、影響を確認して速やかにアップデートすることが推奨されている。
