【安全通报】GitHub Enterprise Server 远程代码执行漏洞

GitHub Enterprise Server是GitHub的私有副本，该副本允许组织自行配置基于云端或者自建的GitHub。

近日，Github官网发布的一则关于GitHub Enterprise Server远程代码执行漏洞的通告。GitHub页面使用的用户控制的配置选项没有受到足够的限制，因此可以环境变量覆盖导致在GitHub Enterprise Server实例上执行任意代码。

FOFA查询

app="Github-Enterprise"

影响范围

• GitHub Enterprise Server < 3.0.3

根据目前FOFA系统最新数据（一年内数据），显示全球范围内（app="Github-Enterprise"）共有 1,837 个相关服务对外开放。美国使用数量最多，共有 1,137 个；爱尔兰第二，共有 178 个；德国第三，共有 85 个；澳大利亚第四，共有 72 个；日本第五，共有 71 个。

全球范围内分布情况如下（仅为分布情况，非漏洞影响情况）

中国大陆地区北京使用数量最多，共有 6 个；广东第二，共有 5 个；上海第三，共有 1 个；浙江第四，共有 1 个。

修复建议

1. 建议从官网下载最新版本进行更新（已知安全版本有3.0.3、2.22.9和2.21.17）。

   下载地址：https://enterprise.github.com/releases/3.0.3/download

参考

[1] https://docs.github.com/en/enterprise-server@2.21/admin/release-notes#2.21.17

[2] https://mp.weixin.qq.com/s/fNJVALY2XL_d4ySDBUQbEQ

白帽汇从事信息安全，专注于安全大数据、企业威胁情报。

公司产品：FOFA-网络空间安全搜索引擎、FOEYE-网络空间检索系统、NOSEC-安全讯息平台。

为您提供：网络空间测绘、企业资产收集、企业威胁情报、应急响应服务。