آبان ۱, ۱۴۰۳
  • twitter
  • telegram
  • linkedin
  • youtube
  • instagram
  • aparat

هشدار JetBrains در مورد باگ IntelliJ IDE برای افشای توکن های دسترسی Github

JetBrains به مشتریان هشدار داد که برای برطرف کردن آسیب‌پذیری، برنامه خود را سریعا به روز رسانی کنند. این آسیب پذیری بر کاربران برنامه‌های محیط توسعه یکپارچه IntelliJ (IDE) تأثیر می‌گذارد و توکن‌های دسترسی GitHub را در معرض نمایش قرار می‌دهد.

این نقص امنیتی که به‌عنوان CVE-2024-37051 شناخته می‌شود، همه IDE‌های مبتنی بر IntelliJ را از سال ۲۰۲۳٫۱ به بعد تحت تأثیر قرار می‌دهد، جایی که افزونه JetBrains GitHub فعال و پیکربندی/استفاده می‌شود.

Ilya Pleskunin، سرپرست تیم پشتیبانی امنیتی در JetBrains می‌گوید: «در ۲۹ ماه مه ۲۰۲۴ یک گزارش امنیتی با جزئیات یک آسیب‌پذیری احتمالی که بر IDE تأثیر می‌گذارد، دریافت کردیم.

“به ویژه، محتوای مخرب به عنوان بخشی از یک درخواست pull به یک پروژه GitHub که توسط IDE های مبتنی بر IntelliJ مدیریت می شود، توکن های دسترسی را در معرض میزبان third-party قرار می دهد.”

JetBrains به‌ روزرسانی‌های امنیتی منتشر کرده است که این آسیب‌پذیری حیاتی را در IDE‌های آسیب‌دیده نسخه ۲۰۲۳٫۱ یا جدیدتر برطرف می‌کند.

این شرکت همچنین پلاگین آسیب پذیر JetBrains GitHub را فیکس کرده است و از آن زمان تمام نسخه های آسیب پذیر قبلی را از بازار رسمی پلاگین خود حذف کرده است.

لیست کامل نسخه های ثابت برای IntelliJ IDE ها شامل موارد زیر است:

Aqua: 2024.1.2

CLion: 2023.1.7, 2023.2.4, 2023.3.5, 2024.1.3, 2024.2 EAP2

DataGrip: 2024.1.4

DataSpell: 2023.1.6, 2023.2.7, 2023.3.6, 2024.1.2

GoLand: 2023.1.6, 2023.2.7, 2023.3.7, 2024.1.3, 2024.2 EAP3

IntelliJ IDEA: 2023.1.7, 2023.2.7, 2023.3.7, 2024.1.3, 2024.2 EAP3

MPS: 2023.2.1, 2023.3.1, 2024.1 EAP2

PhpStorm: 2023.1.6, 2023.2.6, 2023.3.7, 2024.1.3, 2024.2 EAP3

PyCharm: 2023.1.6, 2023.2.7, 2023.3.6, 2024.1.3, 2024.2 EAP2

Rider: 2023.1.7, 2023.2.5, 2023.3.6, 2024.1.3

RubyMine: 2023.1.7, 2023.2.7, 2023.3.7, 2024.1.3, 2024.2 EAP4

RustRover: 2024.1.1

WebStorm: 2023.1.6, 2023.2.7, 2023.3.7, 2024.1.4

از مدیران خواسته شد تا توکن‌های GitHub را پچ و revoke کنند

Ilya Pleskunin هشدار داد: “فورا باید نرم افزار را آپدیت کرده و آخرین به روزرسانی را نصب کنید.”

علاوه بر رفع آسیب پذیری ، JetBrains با GitHub تماس گرفت تا به حداقل رساندن این آسیب پذیری کمک کند. با توجه به اقدامات انجام شده در طول فرآیند کاهش، افزونه JetBrains GitHub ممکن است در نسخه‌های قدیمی‌تر JetBrains IDE آنطور که انتظار می‌رفت عمل نکند.

JetBrains همچنین به مشتریانی که به طور فعال از عملکرد درخواست push گیتاب در IntelliJ IDE استفاده کرده‌اند توصیه می‌کند تا هر توکن GitHub استفاده شده توسط این افزونه آسیب‌پذیر را لغو کنند، زیرا می‌توانند دسترسی مهاجمان را به حساب‌های GitHub که حتی از تایید دو مرحله ای استفاده می کنند را هم به خطر بیاندازد.

علاوه بر این، اگر افزونه با ادغام OAuth یا رمز دسترسی شخصی (PAT) استفاده شده است، باید دسترسی برنامه JetBrains IDE Integration را نیز لغو کرده و توکن پلاگین ادغام IntelliJ IDEA GitHub را حذف کند.

Ilya Pleskunin گفت: «لطفاً توجه داشته باشید که پس از لغو توکن، باید دوباره افزونه را راه‌اندازی کنید زیرا همه ویژگی‌های افزونه (از جمله عملیات Git) از کار می‌افتند.»

در ماه فوریه، JetBrains همچنین در مورد یک آسیب‌پذیری bypass احراز هویت هشدار داد که مهاجمان می توانستند با سواستفاده از کد عمومی امتیازارت مدیریت را بدست آورند و سرورهای آسیب‌پذیر TeamCity On-Premises را تصاحب کنند

نوشته های مرتبط

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

آخرین مطالب