JetBrains исправила баг в IntelliJ IDE, который позволяет получить доступ к токенам GitHub

JetBrains сообщила, что исправила уязвимость, которая позволяла получить доступ к токену GitHub. Ошибка затрагивала IDE семейства IntelliJ и официальный плагин для интеграции GitHub.

Уязвимость получила идентификационный номер CVE-2024-37051, а под угрозой оказались все пользователи IntelliJ IDE версий 2023.1 и выше. Важно, что ошибка касалась только тех, кто установил и настроил плагин JetBrains GitHub. Среды разработки обрабатывали вредоносный код в пулл реквестах и передавали токен на сторонний хост.

Компания закрыла уязвимость как в самих IDE, так и в плагине. Кроме того, из магазина расширений удалили все версии с ошибкой, оставив только актуальную. Список версий с исправлениями выглядит так:

  • Aqua: 2024.1.2

  • CLion: 2023.1.7, 2023.2.4, 2023.3.5, 2024.1.3, 2024.2 EAP2

  • DataGrip: 2024.1.4

  • DataSpell: 2023.1.6, 2023.2.7, 2023.3.6, 2024.1.2

  • GoLand: 2023.1.6, 2023.2.7, 2023.3.7, 2024.1.3, 2024.2 EAP3

  • IntelliJ IDEA: 2023.1.7, 2023.2.7, 2023.3.7, 2024.1.3, 2024.2 EAP3

  • MPS: 2023.2.1, 2023.3.1, 2024.1 EAP2

  • PhpStorm: 2023.1.6, 2023.2.6, 2023.3.7, 2024.1.3, 2024.2 EAP3

  • PyCharm: 2023.1.6, 2023.2.7, 2023.3.6, 2024.1.3, 2024.2 EAP2

  • Rider: 2023.1.7, 2023.2.5, 2023.3.6, 2024.1.3

  • RubyMine: 2023.1.7, 2023.2.7, 2023.3.7, 2024.1.3, 2024.2 EAP4

  • RustRover: 2024.1.1

  • WebStorm: 2023.1.6, 2023.2.7, 2023.3.7, 2024.1.4

Кроме того, компания рекомендует пользователям и администраторам сменить токены, которые использовались для работы с GitHub. Это надо сделать даже если используется двухфакторная аутентификация. Иначе злоумышленники могут получить доступ к профилям. Дополнительно инженеры JetBrains связались с разработчиками GitHub, чтобы сгладить последствия уязвимости.

Материал опубликован при поддержке сайта habr.com
Комментарии

    Актуальные новости по теме "Array"