ИБ-эксперт получил $18 тыс. за уязвимость в GitHub Enterprise
Сервис GitHub выплатил $18 тыс. исследователю, обнаружившему уязвимость в GitHub Enterprise, позволяющую удаленно выполнить код. Проблема была исправлена 31 января текущего года с выходом GitHub Enterprise 2.8.7, однако GitHub и независимый исследователь Маркус Фенске (Markus Fenske) раскрыли подробности о ней только на прошлой неделе.
GitHub Enterprise представляет собой корпоративную версию GitHub.com, предназначенную для развертывания платформы GitHub в приватной сети. Фенске решил заняться поиском уязвимостей в платформе, вдохновившись публикацией исследователя Orange Tsai о возможности SQL-инъекции в GitHub Enterprise. Эксперт обнаружил проблему за две минуты во время расшифровки исходного кода. Фенске наткнулся на уязвимость в первом же файле (config.ru) первого приложения (интерфейс управления).
Проблема была исправлена спустя всего 5 дней с момента получения уведомления о ней. В рамках программы выплаты вознаграждений Фенске получил $10 тыс. и место в «Зале славы» GitHub. В дальнейшем компания выплатила исследователю дополнительные $8 тыс.
Читайте также
- Ошибка в API Facebook предоставляла доступ к фото 6,8 млн пользователей
- Одного ноутбука оказалось достаточно для компрометации всей корпоративной сети
- Депутаты Госдумы разработали план по обеспечению работы Рунета на случай отключения от Сети
- Морские суда часто подвергаются кибератакам
- 25 декабря состоится встреча сообщества специалистов по кибербезопасности АСУ ТП / RUSCADASEC
- Уязвимость в приложении Logitech позволяла удаленно инициировать нажатие клавиш
