حذرت شركة JetBrains العملاء من ضرورة تصحيح ثغرة أمنية خطيرة تؤثر على مستخدمي تطبيقات بيئة التطوير المتكاملة IntelliJ (IDE) وتكشف رموز الوصول إلى GitHub.
تم تتبع هذا الخلل الأمني باسم CVE-2024-37051، ويؤثر على جميع بيئات التطوير المستندة إلى IntelliJ بدءًا من 2023.1 فصاعدًا، حيث يتم تمكين المكون الإضافي JetBrains GitHub وتكوينه/استخدامه.
“في 29 مايو 2024، تلقينا تقريرًا أمنيًا خارجيًا يتضمن تفاصيل عن ثغرة أمنية محتملة من شأنها أن تؤثر على طلبات السحب داخل IDE.” قال إيليا بلسكونين، قائد فريق الدعم الأمني في JetBrains.
“على وجه الخصوص، المحتوى الضار كجزء من طلب السحب إلى مشروع GitHub والذي سيتم التعامل معه بواسطة IDEs المستندة إلى IntelliJ، من شأنه أن يعرض رموز الوصول إلى مضيف طرف ثالث.”
أصدرت JetBrains تحديثات أمنية تعالج هذه الثغرة الأمنية الخطيرة في IDEs المتأثرة الإصدار 2023.1 أو الأحدث.
قامت الشركة أيضًا بتصحيح البرنامج الإضافي JetBrains GitHub الضعيف، ومنذ ذلك الحين قامت بإزالة جميع الإصدارات المتأثرة سابقًا من سوق المكونات الإضافية الرسمي الخاص بها.
تتضمن القائمة الكاملة للإصدارات الثابتة لـ IntelliJ IDEs ما يلي:
- أكوا: 2024.1.2
- كليون: 2023.1.7، 2023.2.4، 2023.3.5، 2024.1.3، 2024.2 EAP2
- داتا جريب: 2024.1.4
- DataSpell: 2023.1.6، 2023.2.7، 2023.3.6، 2024.1.2
- جولاند: 2023.1.6، 2023.2.7، 2023.3.7، 2024.1.3، 2024.2 EAP3
- فكرة إنتيليج: 2023.1.7، 2023.2.7، 2023.3.7، 2024.1.3، 2024.2 EAP3
- MPS: 2023.2.1، 2023.3.1، 2024.1 EAP2
- PHPStorm: 2023.1.6، 2023.2.6، 2023.3.7، 2024.1.3، 2024.2 EAP3
- بيشارم: 2023.1.6، 2023.2.7، 2023.3.6، 2024.1.3، 2024.2 EAP2
- رايدر: 2023.1.7، 2023.2.5، 2023.3.6، 2024.1.3
- روبيماين: 2023.1.7، 2023.2.7، 2023.3.7، 2024.1.3، 2024.2 EAP4
- روست روفر: 2024.1.1
- عاصفة الويب: 2023.1.6، 2023.2.7، 2023.3.7، 2024.1.4
حث المسؤولون على تصحيح وإلغاء الرموز المميزة لـ GitHub
وحذر بليسكونين قائلاً: “إذا لم تقم بالتحديث إلى الإصدار الأحدث، فإننا نحثك بشدة على القيام بذلك”.
بالإضافة إلى العمل على إصلاح الأمان، اتصلت JetBrains بـ GitHub للمساعدة في تقليل التأثير. نظرًا للتدابير التي تم تنفيذها أثناء عملية التخفيف، قد لا يعمل البرنامج الإضافي JetBrains GitHub كما هو متوقع في الإصدارات الأقدم من JetBrains IDEs.
كما نصحت JetBrains أيضًا “بشدة” العملاء الذين استخدموا بشكل نشط وظيفة طلب السحب GitHub في IntelliJ IDEs بإلغاء أي رموز GitHub مميزة يستخدمها البرنامج الإضافي الضعيف حيث يمكنهم تزويد المهاجمين المحتملين بإمكانية الوصول إلى حسابات GitHub المرتبطة حتى مع الحماية الإضافية للعامل الثنائي. المصادقة.
بالإضافة إلى ذلك، إذا تم استخدام المكون الإضافي مع تكامل OAuth أو رمز الوصول الشخصي (PAT)، فيجب أيضًا إلغاء الوصول إلى التكامل مع JetBrains IDE التطبيق وحذف IntelliJ IDEA GitHub البرنامج المساعد للتكامل رمز مميز.
وقال بليسكونين: “يرجى ملاحظة أنه بعد إلغاء الرمز المميز، ستحتاج إلى إعداد المكون الإضافي مرة أخرى لأن جميع ميزات البرنامج المساعد (بما في ذلك عمليات Git) ستتوقف عن العمل”.
وفي فبراير، JetBrains أيضًا حذر من وجود ثغرة أمنية خطيرة لتجاوز المصادقة-مع رمز الاستغلال العام متاح منذ شهر مارس، وهو ما قد يسمح للمهاجمين بالحصول على امتيازات المسؤول والاستيلاء على خوادم TeamCity المحلية الضعيفة.