GitHub修补重大层级的SAML身份验证绕过漏洞

10月10日GitHub发布Enterprise Server（GHES）更新3.14.2、3.13.5、3.12.10、3.11.16版，其中修补身份验证绕过漏洞CVE-2024-9487、资讯泄露漏洞CVE-2024-9539，以及1个尚未登记CVE编号的漏洞。

其中，最值得留意的是被评为重大层级的CVE-2024-9487，攻击者可借由选用的加密断言（assertion）功能绕过SAML单一签入（SSO）身份验证，而能在未经授权的情况下为用户开通服务，或是访问GHES执行实例。此漏洞的4.0版CVSS风险评分达到9.5（满分10分）。

对于CVE-2024-9487发生的原因，GitHub表示是他们在今年5月缓解CVE-2024-4985（CVSS风险评为10分）的过程其中衍生。

不过，攻击者若要利用这项漏洞，必须在特定条件才能触发：他们要能够访问已完成签章签署的SAML回应，或是相关的中继数据文件，才有机会得逞。

GitHub强调，并非所有的GHES都曝险。他们指出，默认组态的GHES并未启动加密断言机制，而不受影响；再者，若是未采用SAML单一签入这类身份验证机制，或用上述单一签入但未搭配加密断言的情况下，也不会受到这项漏洞安全风险的影响。