SK-CERT Bezpečnostné varovanie V20240612-06
| Dôležitosť | Kritická |
| Klasifikácia | Neutajované/TLP:CLEAR |
| CVSS Skóre |
9.3 |
| Identifikátor |
| JetBrains integrované vývojové prostredia (IDEs) – kritická bezpečnostná zraniteľnosť |
| Popis |
| Spoločnosť JetBrains vydala bezpečnostné aktualizácie na svoje integrované vývojové prostredia (IDEs), ktoré opravujú kritickú bezpečnostnú zraniteľnosť. Kritická bezpečnostná zraniteľnosť s identifikátorom CVE-2024-37051 spočíva v nedostatočnej implementácii bezpečnostných mechanizmov a umožňuje vzdialenému, neautentifikovanému útočníkovi získať neoprávnený prístup k citlivým údajom a vykonať neoprávnené zmeny v systéme. Zneužitie zraniteľnosti vyžaduje interakciu zo strany používateľa. Predmetná zraniteľnosť sa týka všetkých IDE založených na platforme IntelliJ počnúc verziou 2023.1, ktoré majú povolený a nakonfigurovaný JetBrains GitHub plugin. |
| Dátum prvého zverejnenia varovania |
| 10.6.2024 |
| CVE |
| CVE-2024-37051 |
| IOC |
| – |
| Zasiahnuté systémy |
| Aqua vo verzii staršej ako 2024.1.2 CLion vo verzii staršej ako 2023.1.7, 2023.2.4, 2023.3.5, 2024.1.3, 2024.2 EAP2 DataGrip vo verzii staršej ako 2024.1.4 DataSpell vo verzii staršej ako 2023.1.6, 2023.2.7, 2023.3.6, 2024.1.2 GoLand vo verzii staršej ako 2023.1.6, 2023.2.7, 2023.3.7, 2024.1.3, 2024.2 EAP3 IntelliJ IDEA vo verzii staršej ako 2023.1.7, 2023.2.7, 2023.3.7, 2024.1.3, 2024.2 EAP3 MPS vo verzii staršej ako 2023.2.1, 2023.3.1, 2024.1 EAP2 PhpStorm vo verzii staršej ako 2023.1.6, 2023.2.6, 2023.3.7, 2024.1.3, 2024.2 EAP3 PyCharm vo verzii staršej ako 2023.1.6, 2023.2.7, 2023.3.6, 2024.1.3, 2024.2 EAP2 Rider vo verzii staršej ako 2023.1.7, 2023.2.5, 2023.3.6, 2024.1.3 RubyMine vo verzii staršej ako 2023.1.7, 2023.2.7, 2023.3.7, 2024.1.3, 2024.2 EAP4 RustRover vo verzii staršej ako 2024.1.1 WebStorm vo verzii staršej ako 2023.1.6, 2023.2.7, 2023.3.7, 2024.1.4 |
| Následky |
| Neoprávnený prístup k citlivým údajom Neoprávnená zmena v systéme |
| Odporúčania |
| Administrátorom a používateľom odporúčame bezodkladne vykonať aktualizáciu zasiahnutých systémov. Po odstránení zraniteľností, ktoré mohli spôsobiť získanie prístupu k citlivým údajom, je dobrou praxou zmena všetkých hesiel a kľúčov na dotknutom systéme a aj na iných systémoch, kde sa používalo rovnaké heslo či kľúč. Taktiež odporúčame poučiť používateľov, aby neotvárali neoverené e-mailové správy, prílohy z neznámych zdrojov a nenavštevovali nedôveryhodné webové stránky. |
| Zdroje |
|
https://blog.jetbrains.com/security/2024/06/updates-for-security-issue-affecting-intellij-based-ides-2023-1-and-github-plugin/ https://github.com/advisories/GHSA-vfg9-hgrq-rjhq |
« Späť na zoznam
