Компания JetBrains призывает пользователей обновить свои интегрированные среды разработки IntelliJ IDEA для устранения критической уязвимости, связанной с доступом к токенам GitHub.
Уязвимость CVE-2024-37051затрагивает все IDE на базе IntelliJ, начиная с версии 2023.1, если включён и используется плагин JetBrains GitHub. 29 мая 2024 года была получена внешняя информация о потенциальной угрозе, влияющей на Pull Request в IDE.
Илья Плескунин, руководитель группы поддержки безопасности JetBrains, сообщил: “Злонамеренное содержание в Pull Request к проекту GitHub, обрабатываемое IDE на базе IntelliJ, может привести к утечке токенов доступа на сторонний хост”.
JetBrains выпустила обновления безопасности для всех затронутых версий IDE (2023.1 и новее). Также обновлён и удалён из официального магазина уязвимый плагин JetBrains GitHub.
Полный список исправленных версий IDE на базе IntelliJ включает:
- Aqua: 2024.1.2;
- CLion: 2023.1.7, 2023.2.4, 2023.3.5, 2024.1.3, 2024.2 EAP2;
- DataGrip: 2024.1.4;
- DataSpell: 2023.1.6, 2023.2.7, 2023.3.6, 2024.1.2;
- GoLand: 2023.1.6, 2023.2.7, 2023.3.7, 2024.1.3, 2024.2 EAP3;
- IntelliJ IDEA: 2023.1.7, 2023.2.7, 2023.3.7, 2024.1.3, 2024.2 EAP3;
- MPS: 2023.2.1, 2023.3.1, 2024.1 EAP2;
- PhpStorm: 2023.1.6, 2023.2.6, 2023.3.7, 2024.1.3, 2024.2 EAP3;
- PyCharm: 2023.1.6, 2023.2.7, 2023.3.6, 2024.1.3, 2024.2 EAP2;
- Rider: 2023.1.7, 2023.2.5, 2023.3.6, 2024.1.3;
- RubyMine: 2023.1.7, 2023.2.7, 2023.3.7, 2024.1.3, 2024.2 EAP4;
- RustRover: 2024.1.1;
- WebStorm: 2023.1.6, 2023.2.7, 2023.3.7, 2024.1.4;
Плескунин настоятельно рекомендует обновиться до последних версий. Более того, для минимизации воздействия JetBrains также связалась с GitHub. В связи с принятыми мерами безопасности в старых версиях IDE плагин отныне может работать некорректно.
JetBrains настоятельно советует пользователям, активно использовавшим функциональность GitHub Pull Request в IntelliJ IDE, отозвать все GitHub-токены, используемые уязвимым плагином. Это поможет предотвратить доступ злоумышленников к связанным аккаунтам GitHub, даже при включенной двухфакторной аутентификации.
При использовании OAuth интеграции или Personal Access Token (PAT), также следует отозвать доступ для приложения JetBrains IDE Integration и удалить токен интеграции плагина IntelliJ IDEA GitHub.
Плескунин пояснил: “После отзыва токена потребуется заново настроить плагин, так как все его функции, включая Git-операции, перестанут работать”.
В феврале компания JetBrains также предупреждала пользователей о критической уязвимости обхода аутентификации, которая позволяла злоумышленникам получить права администратора и взять под контроль уязвимые серверы TeamCity On-Premises. А чуть позже даже стала фигурантом скандала, связанного с весьма спорной политикой раскрытия уязвимостей.