-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA512 CAIS-Alerta [23-05-2024]: Critical GitHub Enterprise Server Flaw Allows Authentication Bypass Prezados(as), O CAIS alerta a comunidade de segurança cibernética para uma vulnerabilidade crítica no GitHub Enterprise Server (GHES) . A vulnerabilidade pode permitir um desvio de autenticação, na autenticação de logon único via SAML, com o recurso opcional de asserções criptografadas. GitHub é uma plataforma de hospedagem de código-fonte e arquivos com controle de versão usando o Git. Ele permite que programadores, utilitários ou qualquer usuário cadastrado na plataforma contribuam em projetos privados e/ou Open Source de qualquer lugar do mundo. Este software, disponível como código aberto na web, apresenta uma versão gratuita para comunidade e uma versão comercial. A função SAML (Security Assertion Markup Language) permite que provedores de identidade (IdP) compartilhem credenciais de acesso para provedores de serviços (SP) 1) Produto(s) e versões afetadas; 2) Identificadores CVE (http://cve.mitre.org); 3) Descrição da vulnerabilidade; 4) Mitigação e correções disponíveis; e 5) Mais informações. 1) Produtos e versões afetadas: Versões: Versões iguais ou anteriores a 3.13.0 2) Identificadores CVE (http://cve.mitre.org): CVE-2024-4985 3) Descrição das vulnerabilidades: Esta vulnerabilidade permitiu que um invasor forjasse uma resposta SAML para provisionar e/ou obter acesso a um usuário com privilégios de administrador do site. A exploração desta vulnerabilidade permitiria acesso não autorizado à instância sem exigir autenticação prévia. 4) Mitigação e correções disponíveis; O fornecedor da solução GitHub disponibilizou pacotes de atualização com a correção da vulnerabilidade, o CAIS recomenda fortemente a aplicação dos pacotes de atualização em ambientes vulneráveis. 5) Mais informações: https://nvd.nist.gov/vuln/detail/CVE-2024-4985 https://docs.github.com/en/enterprise-server@3.10/admin/release-notes#3.10.12 https://docs.github.com/en/enterprise-server@3.11/admin/release-notes#3.11.10 https://docs.github.com/en/enterprise-server@3.12/admin/release-notes#3.12.4 https://docs.github.com/en/enterprise-server@3.9/admin/release-notes#3.9.15 O CAIS recomenda que os administradores mantenham seus sistemas e aplicativos sempre atualizados, de acordo com as últimas versões e correções oferecidas pelos fabricantes. Os alertas do CAIS também podem ser acompanhados pelas redes sociais da RNP. Siga-nos!! Twitter: @caisRNP Facebook: facebook.com/RedeNacionaldeEnsinoePesquisaRNP. ################################################################ # CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA (CAIS) # # Rede Nacional de Ensino e Pesquisa (RNP) # # # # cais@cais.rnp.br https://www.rnp.br/sistema-rnp/cais # # Tel. 019-37873300 Fax. 019-37873301 # # Chave PGP disponível https://www.rnp.br/cais/cais-pgp.key # ################################################################ -----BEGIN PGP SIGNATURE----- iHUEARYKAB0WIQR1qLjrZgv3OlI5RHyQMktUWv02kQUCZk+vpwAKCRCQMktUWv02 kSq9AP4o+aZhvIftjWhw5aSYxF1lOQ/Kcu7d1gqTJO89vtR+IAD/Y9C6LqFrUFUy 6jHD5tPOQWBPUA7ozaVqzXx7JRpZRAk= =ANtj -----END PGP SIGNATURE-----