JetBrains исправила баг в IntelliJ IDE, который позволяет получить доступ к токенам GitHub

JetBrains сообщила, что исправила уязвимость, которая позволяла получить доступ к токену GitHub. Ошибка затрагивала IDE семейства IntelliJ и официальный плагин для интеграции GitHub.

Уязвимость получила идентификационный номер CVE-2024-37051, а под угрозой оказались все пользователи IntelliJ IDE версии 2023.1 и выше. Важно, что ошибка касалась только тех, кто установил и настроил плагин JetBrains GitHub. Среды разработки обрабатывали вредоносный код в пулл реквестах и передавали токен на сторонний хост.

Компания закрыла уязвимость как в самих IDE, так и в плагине. Кроме того, из магазина расширений удалили все версии с ошибкой, оставив только актуальную. Список версий с исправлениями выглядит так:

Aqua: 2024.1.2

CLion: 2023.1.7, 2023.2.4, 2023.3.5, 2024.1.3, 2024.2 EAP2

DataGrip: 2024.1.4

DataSpell: 2023.1.6, 2023.2.7, 2023.3.6, 2024.1.2

GoLand: 2023.1.6, 2023.2.7, 2023.3.7, 2024.1.3, 2024.2 EAP3

IntelliJ IDEA: 2023.1.7, 2023.2.7, 2023.3.7, 2024.1.3, 2024.2 EAP3

MPS: 2023.2.1, 2023.3.1, 2024.1 EAP2

PhpStorm: 2023.1.6, 2023.2.6, 2023.3.7, 2024.1.3, 2024.2 EAP3

PyCharm: 2023.1.6, 2023.2.7, 2023.3.6, 2024.1.3, 2024.2 EAP2

Rider: 2023.1.7, 2023.2.5, 2023.3.6, 2024.1.3

RubyMine: 2023.1.7, 2023.2.7, 2023.3.7, 2024.1.3, 2024.2 EAP4

RustRover: 2024.1.1

WebStorm: 2023.1.6, 2023.2.7, 2023.3.7, 2024.1.4

Кроме того, компания рекомендует пользователям и администраторам сменить токены, которые использовались для работы с GitHub. Это надо сделать даже если используется двухфакторная аутентификация. Иначе злоумышленники могут получить доступ к профилям. Дополнительно инженеры JetBrains связались с разработчиками GitHub, чтобы сгладить последствия уязвимости.

Источник: habr.com

0 0 голоса
Рейтинг новости
17032
0
Подписаться
Уведомить о
0 комментариев
Межтекстовые Отзывы
Посмотреть все комментарии