GitHub ha rilasciato Enterprise Server 3.13.3, che risolve diverse vulnerabilità di sicurezza, tra cui una falla critica che colpisce le istanze che utilizzano SAML single sign-on.
Oltre alle patch di sicurezza, l’aggiornamento fornisce correzioni di bug, miglioramenti di funzionalità minori e modifiche alla piattaforma.
Il problema più urgente affrontato da questo aggiornamento è una vulnerabilità critica (CVE-2024-6800) che colpisce le istanze che utilizzano SAML SSO con specifici Identity Provider (IdP).
La CVE-2024-6800 è stata scoperta attraverso il programma Bug Bounty di GitHub e potrebbe consentire a un utente malintenzionato di falsificare una risposta SAML, garantendo potenzialmente l’accesso agli account utente con privilegi di amministratore del sito.
Questo rilascio risolve anche due vulnerabilità di media gravità:
- CVE-2024-7711: questa vulnerabilità consentiva agli aggressori di modificare il titolo, gli assegnatari e le etichette dei problemi nei repository pubblici. I repository privati e interni non sono stati toccati.
- CVE-2024-6337: gli aggressori potevano sfruttare questa vulnerabilità per esporre il contenuto dei problemi dai repository privati utilizzando un’app GitHub con specifiche autorizzazioni di lettura e scrittura. È importante notare che questo exploit richiede un token di accesso dell’utente e non ha un impatto sui token di accesso dell’installazione.
Oltre alle correzioni di sicurezza, la versione 3.13.3 apporta diverse modifiche degne di nota:
- Maggiore visibilità: Gli utenti ottengono una maggiore visibilità sullo stato di gist, reti e wiki con l’aggiunta di informazioni sullo stato delle app all’interno dell’output di spokesctl info. Inoltre, il comando spokesctl check può ora diagnosticare e spesso correggere le reti di repository vuote.
- Stabilità e prestazioni migliorate: Diverse correzioni di bug riguardano problemi legati all’hotpatching, agli aggiornamenti di configurazione e alle migrazioni di database, con conseguente miglioramento della stabilità del sistema.
- Miglioramenti dell’usabilità: Gli amministratori beneficiano di un controllo più granulare sulla dimensione massima degli oggetti all’interno dei repository. Gli utenti possono ora personalizzare le preferenze di stile della sottolineatura dei link nelle impostazioni di accessibilità.
Se da un lato questo aggiornamento migliora la sicurezza e la stabilità, dall’altro GitHub riconosce diversi problemi noti, descritti nelle note di rilascio ufficiali. Questi includono potenziali errori durante l’esecuzione della configurazione, problemi con la migrazione dei dati del registro di audit e un maggiore utilizzo della memoria.