GitHub corrige falha na autenticação SAML
22 de Maio de 2024

O GitHub corrigiu uma vulnerabilidade crítica de bypass de autenticação (pontuação CVSS v4: 10.0) identificada como CVE-2024-4985 , que afeta instâncias do GitHub Enterprise Server (GHES) que utilizam autenticação SAML single sign-on (SSO).

A exploração da falha permitiria a um ator de ameaças forjar uma resposta SAML e obter privilégios de administrador, proporcionando acesso irrestrito a todo o conteúdo da instância sem necessidade de qualquer autenticação.

O GHES é uma versão autônoma do GitHub projetada para organizações que preferem armazenar repositórios em seus próprios servidores ou em ambientes de nuvem privada.

Ele atende às necessidades de grandes empresas ou equipes de desenvolvimento que exigem maior controle sobre seus ativos, entidades que lidam com dados sensíveis ou proprietários, organizações com necessidades de alta performance e usuários que precisam de capacidades de acesso offline.

A falha, que foi submetida ao programa Bug Bounty do GitHub, afeta apenas instâncias que utilizam Security Assertion Markup Language (SAML) SSO com afirmações criptografadas.

Esta característica opcional protege os dados contra interceptação (ataques man-in-the-middle).

Como as afirmações criptografadas não são a configuração padrão no GHES, o CVE-2024-4985 afeta apenas instâncias cujos administradores ativaram a funcionalidade de segurança.

A vulnerabilidade foi corrigida nas versões GHEL 3.12.4, 3.11.10, 3.10.12 e 3.9.15, todas lançadas ontem, 20 de maio.

Problemas conhecidos com a atualização incluem:

Regras personalizadas de firewall são apagadas.
Erro "No such object" durante a validação da configuração para os serviços Notebook e Viewscreen.

Conta de administrador root do Console de Gerenciamento não desbloqueia automaticamente após bloqueio.

Encaminhamento de log habilitado para TLS falha pois os pacotes CA carregados usando ghe-ssl-ca-certificate-install não são respeitados.

O erro mbind: Operation not permitted nos logs do MySQL pode ser ignorado.

Instâncias AWS podem perder a sincronização da hora do sistema após um reboot.

Todos os IPs de cliente aparecem como 127.0.0.1 nos logs de auditoria quando usando o cabeçalho X-Forwarded-For atrás de um balanceador de carga.

Arquivos .adoc grandes podem não renderizar na UI web, mas estão disponíveis como texto simples.

A restauração de backup com ghe-restore pode falhar se o Redis não tiver reiniciado corretamente.

Repositórios importados usando ghe-migrator não rastreiam corretamente as contribuições de Segurança Avançada.

Workflows de GitHub Actions para GitHub Pages podem falhar; a correção requer comandos SSH específicos.

Apesar desses problemas, aqueles que usam a configuração vulnerável (SAML SSO + afirmações criptografadas) devem imediatamente migrar para uma versão segura do GHEL.

Publicidade

Aprenda hacking e pentest na prática com esse curso gratuito

Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...