GitHub

GitHub は、SAML シングルサインオン (SSO) 認証を使用している GitHub Enterprise Server (GHES) インスタンスに影響する、CVE-2024-4985 として追跡されている最大深刻度 (CVSS v4 スコア: 10.0) の認証バイパス脆弱性を修正しました。

この脆弱性を悪用すると、脅威者は SAML レスポンスを偽造して管理者権限を取得し、認証を必要とせずにインスタンスのすべてのコンテンツに無制限にアクセスできるようになります。

GHESはGitHubのセルフホストバージョンで、自社サーバーやプライベートクラウド環境にリポジトリを保存することを好む組織向けに設計されている。

資産のより大きな管理を必要とする大企業や開発チーム、機密データや専有データを扱う企業、高性能を必要とする組織、オフラインでのアクセス機能を必要とするユーザーのニーズに対応している。

GitHubのBug Bountyプログラムに提出されたこの欠陥は、暗号化されたアサーションを持つSecurity Assertion Markup Language (SAML) SSOを利用するインスタンスにのみ影響する。このオプション機能は、傍受(中間者攻撃)からデータを保護する。

“オプションの暗号化されたアサーション機能付きの SAML シングルサインオン (SSO) 認証を使用するインスタンスでは、攻撃者が SAML レスポンスを偽造して、管理者権限を持つユーザーをプロビジョニングしたり、そのユーザーにアクセスしたりする可能性があります。”- GitHub

暗号化されたアサーションは GHES のデフォルト設定ではないため、CVE-2024-4985は管理者がセキュリティ機能を有効にしているインスタンスにのみ影響します。

この脆弱性は、昨日5月20日にリリースされたGHELバージョン3.12.43.11.103.10.123.9.15で修正されている。

このアップデートによる既知の問題は以下の通り:

  • カスタムファイアウォールルールが消去される
  • NotebookおよびViewscreenサービスの設定検証中に「No such object」エラーが発生する。(無視可能)
  • 管理コンソールのルート管理者アカウントがロックアウト後に自動的にロック解除されない。(ロックを解除するにはSSHアクセスが必要)
  • ghe-ssl-ca-certificate-installを使用してアップロードされたCAバンドルが尊重されないため、TLS対応のログ転送に失敗する。
  • MySQLログのmbind: Operation not permittedエラーを無視できるようになった。
  • AWSインスタンスが再起動すると、システムの時刻同期が失われることがある。
  • ロードバランサーの背後で X-Forwarded-For ヘッダーを使用すると、すべてのクライアント IP が 127.0.0.1 として監査ログに表示される。
  • 大きな.adocファイルがWeb UIでレンダリングされないことがありますが、プレーンテキストとして利用できます。
  • Redis が正しく再起動されていない場合、ge-restore を使ったバックアップの復元に失敗することがあります。
  • ghe-migrator を使ってインポートしたリポジトリが Advanced Security の貢献を正しく追跡しません。
  • GitHub Pages の GitHub Actions ワークフローが失敗することがあります。(修正には特定の SSH コマンドが必要です。)

これらの問題にもかかわらず、脆弱な設定(SAML SSO + 暗号化されたアサーション)を使っている人は、直ちに安全な GHEL バージョンに移行してください。