隱私權聲明
本公司關心使用者隱私權與個人資訊,並遵守本公司的網站隱私政策,使用者若有任何問題,可以參考本公司的「網站隱私政策」,或利用電子郵件或連絡電話詢問本公司.
2024
11
26

GitHub命令列存在高風險漏洞,攻擊者有機會遠端執行任意程式碼[轉載自IThome]

關鍵字:程式設計專案開發資訊安全

文/周峻佑 | 2024-11-20發表

11月15日GitHub開發團隊指出,該程式碼儲存庫存在高風險漏洞CVE-2024-52308,這項漏洞出現於其命令列介面(CLI),一旦遭到利用,在使用者連線到惡意的Codespace SSH伺服器,並下達gh codespace ssh或gh codespace logs指令的情況下,攻擊者就有機會遠端執行任意程式碼(RCE),CVSS風險評為8.1,GitHub發布2.62.0版修補。

對於這項弱點發生的原因,GitHub表示,這項弱點的起因是命令列介面在執行指令的過程中,處理SSH連線導致。當開發人員連線到遠端的Codespace,通常會使用執行開發容器(devcontainer)的SSH伺服器來存取,而這類容器的建置,大多使用預設的映像檔。

一旦外部的惡意開發容器在SSH伺服器注入,並透過相關參數帶入SSH連線詳細資料,此時攻擊者就有機會藉由gh codespace ssh或gh codespace logs指令執行,於使用者的工作站電腦執行任意程式碼,甚至有可能藉此存取系統上使用者的資料。

對此,開發團隊發布新版修補上述漏洞,若是無法及時更新,IT人員應該在導入開發容器映像檔的過程特別留意,最好採用受信任來源的映像檔。

你可能有興趣的作品案例
傑立資訊傑立資訊事業有限公司
Powered by AWS Cloud Computing

電話:(02)2739-9096 | 傳真:(02)2739-6637 | 客服:[email protected] | 臺北市信義區和平東路3段257號6樓map

© 2019 傑立資訊 All rights reserved.| 網站隱私政策

線上詢價