#GitHub #уязвимость #RepoJacking #код
@ZerodayAlert
Please open Telegram to view this post
VIEW IN TELEGRAM
SecurityLab.ru
Репозитории под угрозой: как GitHub чуть не допустил массового захвата кода
4000 популярных пакетов целых полгода были уязвимы для RepoJacking-атак.
🔥1🤔1🌚1
Критическая уязвимость в GitHub Enterprise Server
🔓 GitHub обнаружил критическую уязвимость (CVE-2024-6800) в Enterprise Server. Она позволяет злоумышленникам получить права администратора сайта путем подделки SAML-ответа.
🛠 Были устранены еще две уязвимости средней степени опасности (CVE-2024-7711 и CVE-2024-6337). Они связаны с некорректной авторизацией и могут привести к изменению данных в репозиториях.
🆙 Все уязвимости исправлены в новых версиях GHES 3.13.3, 3.12.8, 3.11.14 и 3.10.16. Пользователям настоятельно рекомендуется обновиться до последней версии для защиты от потенциальных угроз.
#GitHub #уязвимость #безопасность #обновление
@ZerodayAlert
#GitHub #уязвимость #безопасность #обновление
@ZerodayAlert
Please open Telegram to view this post
VIEW IN TELEGRAM
SecurityLab.ru
CVE-2024-6800: GitHub устранил критическую уязвимость в Enterprise Server
Обновитесь как можно скорее, если не хотите делить свои данные с хакерами.
😢6👀2😈1
RoguePilot: атака через описание задачи
В GitHub выявили способ обойти защиту репозитория через связку GitHub Copilot и GitHub Codespaces. Исследователи из Orca Security показали, что достаточно запустить среду разработки из специально подготовленной задачи, чтобы ассистент начал выполнять скрытые инструкции.
Злоумышленник добавлял вредоносный фрагмент в описание issue. Copilot автоматически получал этот текст при старте Codespace и воспринимал его как рабочую подсказку. Далее модель переходила к созданному pull request, считывала внутренний файл через символическую ссылку и отправляла данные, включая GITHUB_TOKEN, на внешний сервер. Всё происходило в рамках штатного сценария, без модификации кода и расширений.
История наглядно показывает, что текст в ИИ-интеграциях всё чаще становится каналом управления. Microsoft изменила обработку входных данных, но сам риск никуда не делся. Чем глубже ассистенты встроены в процессы разработки, тем выше цена ошибки в архитектуре доверия.
#copilot #github #цепочкапоставок #иб
@ZerodayAlert
В GitHub выявили способ обойти защиту репозитория через связку GitHub Copilot и GitHub Codespaces. Исследователи из Orca Security показали, что достаточно запустить среду разработки из специально подготовленной задачи, чтобы ассистент начал выполнять скрытые инструкции.
Злоумышленник добавлял вредоносный фрагмент в описание issue. Copilot автоматически получал этот текст при старте Codespace и воспринимал его как рабочую подсказку. Далее модель переходила к созданному pull request, считывала внутренний файл через символическую ссылку и отправляла данные, включая GITHUB_TOKEN, на внешний сервер. Всё происходило в рамках штатного сценария, без модификации кода и расширений.
История наглядно показывает, что текст в ИИ-интеграциях всё чаще становится каналом управления. Microsoft изменила обработку входных данных, но сам риск никуда не делся. Чем глубже ассистенты встроены в процессы разработки, тем выше цена ошибки в архитектуре доверия.
#copilot #github #цепочкапоставок #иб
@ZerodayAlert
SecurityLab.ru
Токен на блюдечке. Как архитектурная ошибка в GitHub позволила угонять проекты через встроенный чат
Иногда излишнее удобство ведёт к катастрофическим последствиям.
👍10🏆1