GitHub发布安全漏洞更新

重点提取

GitHub Enterprise Server 存在严重安全漏洞CVE20244985，影响所有版本低于 3130。攻击者可利用该漏洞绕过认证防御，获取未经授权的访问权限。更新至 GHES 版本 3915、31012、31110 和 3124 至关重要。

GitHub 最近发布了更新，以修复影响其自托管软件开发平台 GitHub Enterprise Server 的最高严重性安全漏洞CVE20244985。此漏洞可能被利用来规避身份验证防御措施，[The Hacker News] 报道称。

此漏洞影响所有低于版本 3130 的 GHES，攻击者可能借此获得使用 SAML 单点登录身份验证及可选的加密声明特性的 GHES 实例的未经授权访问权限。GitHub 表示：“在使用启用可选加密声明特性的 SAML 单点登录SSO身份验证的实例中，攻击者可以伪造 SAML 响应，以创建和/或访问具有管理员权限的用户。”

为了保护受到影响的 GHES 实例，立即更新至 GHES 版本 3915、31012、31110 和 3124 是非常重要的。GitHub 强调，此安全问题并未影响那些未使用 SAML SSO 或已启用 SAML SSO 但没有加密声明的 GHES 实例，这意味着没有启用 SAML 身份提供者消息加密的实例不受此漏洞影响。

白鲸加速器官方受影响版本推荐更新版本GHES 低于 31303915 31012 31110 3124

温馨提示：确保及时更新你的 GitHub Enterprise Server，以保护系统免受潜在攻击。