文/周峻佑 | 2024-11-20發表

11月15日GitHub開發團隊指出,該程式碼儲存庫存在高風險漏洞CVE-2024-52308,這項漏洞出現於其命令列介面(CLI),一旦遭到利用,在使用者連線到惡意的Codespace SSH伺服器,並下達gh codespace ssh或gh codespace logs指令的情況下,攻擊者就有機會遠端執行任意程式碼(RCE),CVSS風險評為8.1,GitHub發布2.62.0版修補。
對於這項弱點發生的原因,GitHub表示,這項弱點的起因是命令列介面在執行指令的過程中,處理SSH連線導致。當開發人員連線到遠端的Codespace,通常會使用執行開發容器(devcontainer)的SSH伺服器來存取,而這類容器的建置,大多使用預設的映像檔。
一旦外部的惡意開發容器在SSH伺服器注入,並透過相關參數帶入SSH連線詳細資料,此時攻擊者就有機會藉由gh codespace ssh或gh codespace logs指令執行,於使用者的工作站電腦執行任意程式碼,甚至有可能藉此存取系統上使用者的資料。
對此,開發團隊發布新版修補上述漏洞,若是無法及時更新,IT人員應該在導入開發容器映像檔的過程特別留意,最好採用受信任來源的映像檔。
網頁設計.企業形象網站 / 服務類
網站技術:PHP . Javascript
服務對象主要是台中當地不動產事務所,與各事務所建立互助的關係。公會不定期舉辦教育訓練/座談會、提供相關資料使用。加入會員可以觀看自己的報名紀錄與時數相關資料。
網頁設計.RWD響應式網站.企業形象網站 / 醫療衛生類
網站技術:Javascript
專營牙醫診所設備銷售與服務,透過一頁式網站簡單且快速的呈現所有資訊。
網頁設計 / 教育人文類
網站技術:PHP . Javascript/MySql
本網站有多項種類的期刊與畫冊的訂閱,部分期刊也有提供紙本與電子報。創價訂閱網站有完整的訂閱系統與多元的閱讀管道,不僅可以在電腦上閱讀,也可以在APP上閱讀,APP登入帳號密碼就可以看到自己的訂閱紀錄與期刊。
傑立資訊事業有限公司電話:(02)2739-9096 | 傳真:(02)2739-6637 | 客服:[email protected] | 臺北市信義區和平東路3段257號6樓map
© 2019 傑立資訊 All rights reserved.| 網站隱私政策