GitHub Enterprise Server -alustassa havaittiin vakava turvallisuuspuute, joka liittyy SAML-yksitt\u00e4iskirjautumiseen (SSO). Puutteen tunniste on CVE-2024-4985 ja se on luokiteltu kriittiseksi. Haavoittuvuus koskee j\u00e4rjestelmi\u00e4, joissa on k\u00e4yt\u00f6ss\u00e4 valinnainen salattujen v\u00e4itt\u00e4mien (encrypted assertions) ominaisuus SAML-autentikoinnissa.<\/p>\n\n\n\n
Haavoittuvuuden Kuvaus<\/strong><\/p>\n\n\n\n Ongelma mahdollistaa hy\u00f6kk\u00e4\u00e4j\u00e4n v\u00e4\u00e4rent\u00e4\u00e4 SAML-vastauksen, mik\u00e4 voi johtaa k\u00e4ytt\u00e4j\u00e4n luomiseen j\u00e4rjestelm\u00e4\u00e4n tai p\u00e4\u00e4syn saamiseen olemassa olevalla k\u00e4ytt\u00e4j\u00e4tilill\u00e4, jolla on yll\u00e4pit\u00e4j\u00e4oikeudet. T\u00e4m\u00e4 voi tapahtua ilman, ett\u00e4 hy\u00f6kk\u00e4\u00e4j\u00e4 tarvitsee aiempaa autentikointia j\u00e4rjestelm\u00e4\u00e4n.<\/p>\n\n\n\n Kenen on syyt\u00e4 huolestua?<\/strong><\/p>\n\n\n\n Haavoittuvuus koskee vain niit\u00e4 GitHub Enterprise Server -instansseja, jotka k\u00e4ytt\u00e4v\u00e4t SAML SSO -autentikointia yhdess\u00e4 salattujen v\u00e4itt\u00e4mien kanssa. Jos instanssissa ei k\u00e4ytet\u00e4 SAML SSO:ta tai k\u00e4ytet\u00e4\u00e4n sit\u00e4 ilman salattujen v\u00e4itt\u00e4mien ominaisuutta, haavoittuvuus ei vaikuta siihen. Salatut v\u00e4itt\u00e4m\u00e4t eiv\u00e4t ole oletusarvoisesti k\u00e4yt\u00f6ss\u00e4.<\/p>\n\n\n\n Korjaustoimenpiteet<\/strong><\/p>\n\n\n\n GitHub on jo julkaissut korjauksen t\u00e4m\u00e4n turvallisuuspuutteen osalta. Korjaus on saatavilla GitHub Enterprise Serverin versioissa 3.9.15, 3.10.12, 3.11.10 ja 3.12.4. Kriittisyytens\u00e4 vuoksi on suositeltavaa, ett\u00e4 kaikki k\u00e4ytt\u00e4j\u00e4t, jotka k\u00e4ytt\u00e4v\u00e4t haavoittuvia versioita, p\u00e4ivitt\u00e4v\u00e4t alustansa mahdollisimman pian uusimpaan, korjattuun versioon.<\/p>\n\n\n\n Yhteenveto<\/strong><\/p>\n\n\n\n T\u00e4m\u00e4 haavoittuvuus korostaa j\u00e4rjestelmien jatkuvan yll\u00e4pidon ja p\u00e4ivitysten t\u00e4rkeytt\u00e4. Vaikka salattuja v\u00e4itt\u00e4mi\u00e4 ei ole oletusarvoisesti k\u00e4yt\u00f6ss\u00e4, ne organisaatiot, jotka ovat ottaneet ominaisuuden k\u00e4ytt\u00f6\u00f6n, ovat alttiita merkitt\u00e4v\u00e4lle tietoturvariskille. On t\u00e4rke\u00e4\u00e4, ett\u00e4 kaikki j\u00e4rjestelm\u00e4t p\u00e4ivitet\u00e4\u00e4n s\u00e4\u00e4nn\u00f6llisesti ja turvallisuuspuutteet korjataan nopeasti niiden havaitsemisen j\u00e4lkeen.<\/p>\n\n\n\n