Баг в IDE IntelliJ компании JetBrains сливает токены GitHub - «Новости» » Интернет технологии
sitename
Китайцы построили самую мощную в мире центрифугу, чтобы «сжимать» время и пространство - «Новости сети»
Китайцы построили самую мощную в мире центрифугу, чтобы «сжимать» время и пространство - «Новости сети»
 Asus представила геймерские смартфоны ROG Phone 9 и 9 Pro — Snapdragon 8 Elite, разъём для наушников и цена от $1000 - «Новости сети»
Asus представила геймерские смартфоны ROG Phone 9 и 9 Pro — Snapdragon 8 Elite, разъём для наушников и цена от $1000 - «Новости сети»
 Microsoft представила Windows 365 Link — компьютер, на который нельзя установить ни одной программы - «Новости сети»
Microsoft представила Windows 365 Link — компьютер, на который нельзя установить ни одной программы - «Новости сети»
 Вредоносные коммиты с бэкдорами обнаружили на GitHub - «Новости»
Вредоносные коммиты с бэкдорами обнаружили на GitHub - «Новости»
 Критический баг в плагине для WordPress угрожает 4 млн сайтов - «Новости»
Критический баг в плагине для WordPress угрожает 4 млн сайтов - «Новости»
 Данные всех россиян уже утекли в даркнет, заявил глава «Ростелекома» - «Новости сети»
Данные всех россиян уже утекли в даркнет, заявил глава «Ростелекома» - «Новости сети»
 Самым популярным паролем в 2024 году остается «123456» - «Новости»
Самым популярным паролем в 2024 году остается «123456» - «Новости»
 Ботнет эксплуатирует 0-day уязвимость в устройствах GeoVision - «Новости»
Ботнет эксплуатирует 0-day уязвимость в устройствах GeoVision - «Новости»
 Компанию T-Mobile взломали во время недавней атаки на телекомы - «Новости»
Компанию T-Mobile взломали во время недавней атаки на телекомы - «Новости»
 «Что-то мне как-то не по себе»: игроков насторожил 4K-геймплей S.T.A.L.K.E.R. 2: Heart of Chornobyl от Nvidia - «Новости сети»
«Что-то мне как-то не по себе»: игроков насторожил 4K-геймплей S.T.A.L.K.E.R. 2: Heart of Chornobyl от Nvidia - «Новости сети»
Как заработать денег, не выходя из дома, мы вам поможем с этим разобраться » Новости » Баг в IDE IntelliJ компании JetBrains сливает токены GitHub - «Новости»

✔Баг в IDE IntelliJ компании JetBrains сливает токены GitHub - «Новости»

16 июня 2024 314 Новости / Вёрстка / Изображения / Видео уроки 0

Компания JetBrains предупредила клиентов об исправлении критической уязвимости, которая затрагивает пользователей IDE IntelliJ и позволяет получить доступ к токенам GitHub.


Уязвимость отслеживается под идентификатором CVE-2024-37051 и затрагивает все IDE на базе IntelliJ, начиная с версии 2023.1, в которых включен, настроен или используется плагин JetBrains GitHub.


«29 мая 2024 года мы получили сообщение о возможной уязвимости, которая способна влиять на pull request'ы в IDE, — рассказал Илья Плескунин, руководитель группы поддержки безопасности в JetBrains. — Так, вредоносный контент, содержащейся в пулл реквесте для GitHub и обрабатываемый IDE на базе IntelliJ, может привести к передаче токенов доступа на сторонний хост».


JetBrains уже выпустила патчи, устраняющие критическую проблему в версии 2023.1 или более поздних. Также компания исправила уязвимый плагин JetBrains GitHub и удалила все ранее затронутые версии из своего официального маркетплейса плагинов.


Полный список исправленных версий включает:



  • Aqua: 2024.1.2

  • CLion: 2023.1.7, 2023.2.4, 2023.3.5, 2024.1.3, 2024.2 EAP2

  • DataGrip: 2024.1.4

  • DataSpell: 2023.1.6, 2023.2.7, 2023.3.6, 2024.1.2

  • GoLand: 2023.1.6, 2023.2.7, 2023.3.7, 2024.1.3, 2024.2 EAP3

  • IntelliJ IDEA: 2023.1.7, 2023.2.7, 2023.3.7, 2024.1.3, 2024.2 EAP3

  • MPS: 2023.2.1, 2023.3.1, 2024.1 EAP2

  • PhpStorm: 2023.1.6, 2023.2.6, 2023.3.7, 2024.1.3, 2024.2 EAP3

  • PyCharm: 2023.1.6, 2023.2.7, 2023.3.6, 2024.1.3, 2024.2 EAP2

  • Rider: 2023.1.7, 2023.2.5, 2023.3.6, 2024.1.3

  • RubyMine: 2023.1.7, 2023.2.7, 2023.3.7, 2024.1.3, 2024.2 EAP4

  • RustRover: 2024.1.1

  • WebStorm: 2023.1.6, 2023.2.7, 2023.3.7, 2024.1.4


Администраторам настоятельно рекомендуется как можно скорее установить патчи и отозвать токены GitHub. Также компания настоятельно рекомендует клиентам, активно использующим функциональность пулл реквестов GitHub в IntelliJ IDE, отозвать все токены GitHub, используемые уязвимым плагином, поскольку они могут предоставить потенциальным злоумышленникам доступ к связанным аккаунтам на GitHub (даже если включена дополнительная защита в виде двухфакторной аутентификации).


Кроме того, если плагин использовался с интеграцией OAuth или Personal Access Token (PAT), следует отозвать доступ JetBrains IDE Integration и удалить токен плагина интеграции IntelliJ IDEA с GitHub. Подчеркивается, что после отзыва токена придется заново настроить плагин, так как все его функции (включая операции с Git) перестанут работать.


Помимо создания патча JetBrains связалась с разработчиками GitHub, чтобы помочь минимизировать последствия уязвимости. Поэтому, в связи с принятыми мерами, плагин JetBrains GitHub может работать некорректно в старых версиях IDE JetBrains.


Компания JetBrains предупредила клиентов об исправлении критической уязвимости, которая затрагивает пользователей IDE IntelliJ и позволяет получить доступ к токенам GitHub. Уязвимость отслеживается под идентификатором CVE-2024-37051 и затрагивает все IDE на базе IntelliJ, начиная с версии 2023.1, в которых включен, настроен или используется плагин JetBrains GitHub. «29 мая 2024 года мы получили сообщение о возможной уязвимости, которая способна влиять на pull request'ы в IDE, — рассказал Илья Плескунин, руководитель группы поддержки безопасности в JetBrains. — Так, вредоносный контент, содержащейся в пулл реквесте для GitHub и обрабатываемый IDE на базе IntelliJ, может привести к передаче токенов доступа на сторонний хост». JetBrains уже выпустила патчи, устраняющие критическую проблему в версии 2023.1 или более поздних. Также компания исправила уязвимый плагин JetBrains GitHub и удалила все ранее затронутые версии из своего официального маркетплейса плагинов. Полный список исправленных версий включает: Aqua: 2024.1.2 CLion: 2023.1.7, 2023.2.4, 2023.3.5, 2024.1.3, 2024.2 EAP2 DataGrip: 2024.1.4 DataSpell: 2023.1.6, 2023.2.7, 2023.3.6, 2024.1.2 GoLand: 2023.1.6, 2023.2.7, 2023.3.7, 2024.1.3, 2024.2 EAP3 IntelliJ IDEA: 2023.1.7, 2023.2.7, 2023.3.7, 2024.1.3, 2024.2 EAP3 MPS: 2023.2.1, 2023.3.1, 2024.1 EAP2 PhpStorm: 2023.1.6, 2023.2.6, 2023.3.7, 2024.1.3, 2024.2 EAP3 PyCharm: 2023.1.6, 2023.2.7, 2023.3.6, 2024.1.3, 2024.2 EAP2 Rider: 2023.1.7, 2023.2.5, 2023.3.6, 2024.1.3 RubyMine: 2023.1.7, 2023.2.7, 2023.3.7, 2024.1.3, 2024.2 EAP4 RustRover: 2024.1.1 WebStorm: 2023.1.6, 2023.2.7, 2023.3.7, 2024.1.4 Администраторам настоятельно рекомендуется как можно скорее установить патчи и отозвать токены GitHub. Также компания настоятельно рекомендует клиентам, активно использующим функциональность пулл реквестов GitHub в IntelliJ IDE, отозвать все токены GitHub, используемые уязвимым плагином, поскольку они могут предоставить потенциальным злоумышленникам доступ к связанным аккаунтам на GitHub (даже если включена дополнительная защита в виде двухфакторной аутентификации). Кроме того, если плагин использовался с интеграцией OAuth или Personal Access Token (PAT), следует отозвать доступ JetBrains IDE Integration и удалить токен плагина интеграции IntelliJ IDEA с GitHub. Подчеркивается, что после отзыва токена придется заново настроить плагин, так как все его функции (включая операции с Git) перестанут работать. Помимо создания патча JetBrains связалась с разработчиками GitHub, чтобы помочь минимизировать последствия уязвимости. Поэтому, в связи с принятыми мерами, плагин JetBrains GitHub может работать некорректно в старых версиях IDE JetBrains.
CSS
запостил(а)
Dodson
Вернуться назад

Смотрите также
А что там на главной? )))


Комментарии )))
Забыли пароль? Регистрация
Войти через: