Η
JetBrains
προειδοποίησε τους πελάτες να επιδιορθώσουν μια κρίσιμη
ευπάθεια
που επηρεάζει τους χρήστες των εφαρμογών του ολοκληρωμένου
περιβάλλον
τος ανάπτυξης IntelliJ (
IDE
) και εκθέτει τα διακριτικά πρόσβασης GitHub.
Παρακολούθηση ως
CVE
-2024-37051, αυτό το ελάττωμα ασφαλείας επηρεάζει όλα τα IDE που βασίζονται σε IntelliJ από το 2023.1 και μετά, όπου η προσθήκη JetBrains GitHub είναι ενεργοποιημένη και ρυθμισμένη/χρησιμοποιείται.
“Στις 29 Μαΐου 2024 λάβαμε μια έκθεση εξωτερικής ασφάλειας με λεπτομέρειες για μια πιθανή ευπάθεια που θα επηρέαζε τα αιτήματα έλξης εντός του IDE.”
είπε
Ilya Pleskunin, επικεφαλής της ομάδας υποστήριξης ασφαλείας στο JetBrains.
“Συγκεκριμένα, κακόβουλο περιεχόμενο ως μέρος ενός αιτήματος έλξης σε ένα έργο GitHub το οποίο θα χειριζόταν IDE που βασίζονται στο IntelliJ, θα εκθέσει τα διακριτικά πρόσβασης σε έναν κεντρικό υπολογιστή τρίτου μέρους.”
Η JetBrains κυκλοφόρησε ενημερώσεις ασφαλείας που αντιμετωπίζουν αυτήν την κρίσιμη ευπάθεια σε IDE που επηρεάζονται, έκδοση 2023.1 ή μεταγενέστερη.
Η εταιρεία έχει επίσης διορθώσει το ευάλωτο πρόσθετο JetBrains GitHub και έκτοτε έχει αφαιρέσει όλες τις εκδόσεις που είχαν επηρεαστεί στο παρελθόν από την επίσημη αγορά προσθηκών της.
Η πλήρης λίστα σταθερών εκδόσεων για IntelliJ IDE περιλαμβάνει:
-
Aqua
: 2024.1.2 -
CLion
: 2023.1.7, 2023.2.4, 2023.3.5, 2024.1.3, 2024.2 EAP2 -
DataGrip
: 2024.1.4 -
DataSpell
: 2023.1.6, 2023.2.7, 2023.3.6, 2024.1.2 -
GoLand
: 2023.1.6, 2023.2.7, 2023.3.7, 2024.1.3, 2024.2 EAP3 -
IntelliJ IDEA
: 2023.1.7, 2023.2.7, 2023.3.7, 2024.1.3, 2024.2 EAP3 -
MPS
: 2023.2.1, 2023.3.1, 2024.1 EAP2 -
PhpStorm
: 2023.1.6, 2023.2.6, 2023.3.7, 2024.1.3, 2024.2 EAP3 -
PyCharm
: 2023.1.6, 2023.2.7, 2023.3.6, 2024.1.3, 2024.2 EAP2 -
Καβαλάρης
: 2023.1.7, 2023.2.5, 2023.3.6, 2024.1.3 -
RubyMine
: 2023.1.7, 2023.2.7, 2023.3.7, 2024.1.3, 2024.2 EAP4 -
RustRover
: 2024.1.1 -
WebStorm
: 2023.1.6, 2023.2.7, 2023.3.7, 2024.1.4
Οι διαχειριστές προτρέπονται να διορθώσουν και να ανακαλέσουν τα διακριτικά του GitHub
“Εάν δεν έχετε ενημερώσει στην πιο πρόσφατη έκδοση, σας προτρέπουμε θερμά να το κάνετε”, προειδοποίησε ο Pleskunin.
Εκτός από την εργασία για μια επιδιόρθωση ασφαλείας, η JetBrains επικοινώνησε με το GitHub για να βοηθήσει στην ελαχιστοποίηση των επιπτώσεων. Λόγω των μέτρων που εφαρμόστηκαν κατά τη διαδικασία μετριασμού, η προσθήκη JetBrains GitHub ενδέχεται να μην λειτουργεί όπως αναμένεται σε παλαιότερες εκδόσεις των JetBrains IDE.
Η JetBrains συμβούλευσε επίσης τους πελάτες που έχουν χρησιμοποιήσει ενεργά τη λειτουργία αιτήματος έλξης GitHub σε IntelliJ IDE να ανακαλέσουν τυχόν διακριτικά GitHub που χρησιμοποιούνται από την ευάλωτη προσθήκη, καθώς θα μπορούσαν να παρέχουν στους πιθανούς εισβολείς πρόσβαση στους συνδεδεμένους λογαριασμούς GitHub ακόμη και με την πρόσθετη προστασία δύο παραγόντων αυθεντικοποίηση.
Επιπλέον, εάν η προσθήκη χρησιμοποιήθηκε με ενσωμάτωση OAuth ή Προσωπικό διακριτικό πρόσβασης (PAT), θα πρέπει επίσης να ανακαλέσει την πρόσβαση για
Ενσωμάτωση JetBrains IDE
εφαρμογή και διαγράψτε το
Πρόσθετο ενσωμάτωσης IntelliJ IDEA GitHub
ένδειξη.
“Λάβετε υπόψη ότι μετά την ανάκληση του διακριτικού, θα χρειαστεί να ρυθμίσετε ξανά το πρόσθετο, καθώς όλες οι λειτουργίες της προσθήκης (συμπεριλαμβανομένων των λειτουργιών Git) θα σταματήσουν να λειτουργούν”, είπε ο Pleskunin.
Τον Φεβρουάριο, η JetBrains προειδοποίησε επίσης για μια κρίσιμη ευπάθεια παράκαμψης ελέγχου ταυτότητας —με δημόσιο κώδικα εκμετάλλευσης διαθέσιμο από τον Μάρτιο— που θα μπορούσε να επιτρέψει στους εισβολείς να αποκτήσουν δικαιώματα διαχειριστή και να καταλάβουν ευάλωτους διακομιστές TeamCity On-Premises.
VIA:
bleepingcomputer.com
0