【漏洞通告】GitHub 多个漏洞安全风险通告
2022年4月7日,嘉诚安全监测到CVE官方发布了GitHub多个漏洞的安全风险通告,漏洞编号为:CVE-2022-23732、CVE-2022-1212。
GitHub是一个面向开源及私有软件项目的托管平台。其中GitHub Enterprise Server 是 GitHub.com 的私有版本,提供一个将自己的GitHub实例设置为虚拟设备,从而提供可扩展,易于管理的平台。GitHub repository mruby是一款Ruby语言的轻量级实现。
鉴于漏洞危害较大,嘉诚安全提醒相关用户尽快升级补丁进行修复,避免引发漏洞相关的网络安全事件。
1.GitHub Enterprise Server跨站请求伪造漏洞(CVE-2022-23732)
该漏洞源于GitHub Enterprise Server management console 导致权限升级。
2.GitHub repository mruby资源管理错误漏洞(CVE-2022-1212)
该漏洞源于stru_escape释放后重用。攻击者利用该漏洞执行任意代码。
受影响版本:
CVE-2022-23732 |
极危 |
| < Enterprise Server 3.5版本 | |
CVE-2022-1212 |
极危 |
| < mruby 3.2版本 |
通用修复建议:
1.CVE-2022-23732:目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://docs.github.com/en/[email protected]/admin/release-notes#3.1.19
2.CVE-2022-1212:目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://github.com/mruby/mruby/commit/3cf291f72224715942beaf8553e42ba8891ab3c6