Zwei Schwachstellen in GitHub Enterprise

Am 10. Oktober 2024 meldete das Entwickler-Team von GitHub Enterprise, zwei Sicherheitslücken in der Software behoben zu haben:

• Die kritische Schwachstelle CVE-2024-9487 hat einen CVSS-Score von 9.5/10 und ermöglicht Angreifenden, Authentifizierungsmechanismen wie Single Sign On (SSO) zu umgehen. So könnten die Kriminellen uneingeschränkten Zugriff auf GitHub-Instanzen erhalten. 
• Die als mittel eingestufte CVE-2024-9539 mit einem CVSS-Score von 5.7/10 erlaubt Angreifenden, Dateien und sensible Informationen offenzulegen und abzugreifen.

CVE-2024-9487 betrifft alle GitHub-Enterprise-Versionen vor Version 3.15 und CVE-2024-9539 alle Versionen unterhalb von 3.14. Mit den Versionen 3.11.16, 3.12.10, 3.13.5 und 3.14.2 stellt das Entwickler-Team abgesicherte Versionen bereit.

Installieren Sie umgehend die zu Ihrer Konfiguration passende GitHub-Enterprise-Version 3.11.16, 3.12.10, 3.13.5 oder 3.14.2.