GitHub发布了Enterprise Server 3.13.3,解决了几个安全漏洞,其中包括影响使用 SAML 单点登录实例的严重缺陷。
除了安全补丁外,此更新还修复了错误,增强了小功能,并更改了平台。
此次更新要解决的最紧迫的问题是一个严重漏洞 ( CVE-2024-6800 ),该漏洞影响使用特定身份提供商 (IdP) 的 SAML SSO 的实例。
CVE-2024-6800 是通过 GitHub 的Bug Bounty计划发现的,它可能允许攻击者伪造 SAML 响应,从而可能授予他们以站点管理员权限访问用户帐户的权限。
此版本还解决了两个中等严重程度的漏洞:
- CVE-2024-7711:此漏洞允许攻击者修改公共存储库中问题的标题、受让人和标签。私有和内部存储库不受影响。
- CVE-2024-6337:攻击者可以利用此漏洞,使用具有特定读写权限的 GitHub App 公开私有存储库中的问题内容。需要注意的是,此漏洞需要用户访问令牌,并且不会影响安装访问令牌。
除了安全修复之外,3.13.3 还带来了几个显著的变化:
- 增强可见性:通过在spokesctl info输出中添加应用状态信息,用户可以更好地了解要点、网络和 Wiki 的状态。此外,spokesctl check命令现在可以诊断并经常纠正空存储库网络。
- 提高了稳定性和性能:修复了几个与热修补、配置更新和数据库迁移相关的错误,从而提高了系统稳定性。
- 可用性改进:管理员可以更精细地控制存储库中的最大对象大小。用户现在可以在辅助功能设置中自定义链接下划线样式首选项。
虽然此更新增强了安全性和稳定性,但 GitHub 承认官方发布说明中概述了几个已知问题。其中包括配置运行期间的潜在错误、审计日志数据迁移问题以及内存利用率增加。
要查看完整的更改列表,请参阅GitHub 网站上的官方发行说明。
