GitHub Enterprise Server (GHES) 存在高風險的遠端程式碼執行 (RCE) 漏洞。透過惡意推送選項,具備基礎權限的認證使用者即可在伺服器上執行任意指令。
風險影響: 攻擊成功將導致系統被完全入侵。請立即修補。
更新版本需求
| 分支版本 | 修補版本 |
|---|---|
| 3.14.x | 3.14.25+ |
| 3.15.x | 3.15.20+ |
| 3.16.x | 3.16.16+ |
| 3.17.x | 3.17.13+ |
| 3.18.x | 3.18.7+ |
| 3.19.x | 3.19.4+ |
網路盤點
請使用 runZero 軟體清單中的下列查詢來定位所有 GHES 安裝實例:
vendor:=GitHub AND product:="Enterprise%"
關於 runZero
runZero 是一種網路發現和資產庫存解決方案,由 Metasploit 的創建者 HD Moore 於 2018 年創立。 HD 設想了一種現代主動發現解決方案,無需憑證即可找到和識別網路上的所有內容。 作為一名安全研究員和滲透測試人員,他經常採用良性的方式來獲取資訊洩漏並將它們拼湊起來以建立設備配置文件。 最終,這項工作促使他利用應用研究和為安全和滲透測試開發的發現技術來創建 runZero。
關於Version 2
Version 2 Digital 是立足亞洲的增值代理商及IT開發者。公司在網絡安全、雲端、數據保護、終端設備、基礎設施、系統監控、存儲、網絡管理、商業生產力和通信產品等各個領域代理發展各種 IT 產品。透過公司龐大的網絡、通路、銷售點、分銷商及合作夥伴,Version 2 提供廣被市場讚賞的產品及服務。Version 2 的銷售網絡包括台灣、香港、澳門、中國大陸、新加坡、馬來西亞等各亞太地區,客戶來自各行各業,包括全球 1000 大跨國企業、上市公司、公用事業、醫療、金融、教育機構、政府部門、無數成功的中小企及來自亞洲各城市的消費市場客戶。
