Kritiek lek in GitHub Enterprise Server kan aanvaller admintoegang geven
GitHub waarschuwt voor een kritieke kwetsbaarheid in Enterprise Server waardoor een aanvaller admintoegang kan krijgen. Het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 10.0 en doet zich voor bij installaties die gebruikmaken van SAML single sign-on (SSO) authenticatie met de optionele encrypted assertions feature. Een aanvaller kan een SAML response vervalsen en zo toegang tot een gebruiker met adminrechten krijgen.
GitHub Enterprise Server is een self-hosted platform voor softwareontwikkeling binnen een organisatie. Via het platform is het mogelijk om software te ontwikkelen en leveren. Toegang kan onder andere worden geregeld door middel van SAML (Security Assertion Markup Language) single sign-on (SSO) via een identiteitsprovider. Installaties die geen gebruikmaken van SAML SSO of SAML SSO authenticatie gebruiken zonder encrypted assertions zijn niet kwetsbaar.
Encrypted assertions is een feature die ervoor zorgt dat berichten van de SAML-identiteitsprovider standaard zijn versleuteld. De feature staat niet standaard ingeschakeld. De kwetsbaarheid, aangeduid als CVE-2024-4985, is aanwezig in alle versies van GitHub Enterprise Server voor 3.13.0 en is verholpen in versies 3.9.15, 3.10.12, 3.11.10 en 3.12.4.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
