JetBrains警告客户解决一个关键漏洞,该漏洞被追踪为CVE-2024-37051,影响其IntelliJ集成开发环境(IDE)应用的用户,并暴露GitHub访问令牌。该缺陷影响了2023.1及更高版本的基于IntelliJ的IDE,在启用并配置/使用JetBrains GitHub插件时存在风险。“发现了一个新的安全问题,影响IntelliJ平台上的JetBrains GitHub插件,可能导致访问令牌泄露到第三方网站。该问题影响所有启用了JetBrains GitHub插件并配置/使用的2023.1及以后的基于IntelliJ的IDE。”公司发布的公告中写道。
2024年5月29日,公司收到了一份关于潜在影响其IDE产品的漏洞的外部安全报告。该报告表明,当IntelliJ基于的IDE处理GitHub项目的拉取请求中的特制内容时,会将访问令牌暴露给第三方主机。JetBrains通过发布2023.1及以后的IDE版本解决了这个缺陷。强烈建议用户更新到最新版本。
那些在IDE中使用过GitHub拉取请求功能的客户被强烈建议撤销插件使用的任何GitHub令牌。对于OAuth集成,通过“Applications → Authorized OAuth Apps”撤销JetBrains IDE Integration应用的访问权限。对于个人访问令牌(PAT),删除插件在Tokens页面上签发的令牌,通常名为“IntelliJ IDEA GitHub integration plugin”,但也可能使用自定义名称。
以下是IntelliJ IDEs修复版本的列表:
-
Aqua: 2024.1.2
-
CLion: 2023.1.7, 2023.2.4, 2023.3.5, 2024.1.3, 2024.2 EAP2
-
DataGrip: 2024.1.4
-
DataSpell: 2023.1.6, 2023.2.7, 2023.3.6, 2024.1.2
-
GoLand: 2023.1.6, 2023.2.7, 2023.3.7, 2024.1.3, 2024.2 EAP3
-
IntelliJ IDEA: 2023.1.7, 2023.2.7, 2023.3.7, 2024.1.3, 2024.2 EAP3
-
MPS: 2023.2.1, 2023.3.1, 2024.1 EAP2
-
PhpStorm: 2023.1.6, 2023.2.6, 2023.3.7, 2024.1.3, 2024.2 EAP3
-
PyCharm: 2023.1.6, 2023.2.7, 2023.3.6, 2024.1.3, 2024.2 EAP2
-
Rider: 2023.1.7, 2023.2.5, 2023.3.6, 2024.1.3
-
RubyMine: 2023.1.7, 2023.2.7, 2023.3.7, 2024.1.3, 2024.2 EAP4
-
RustRover: 2024.1.1
-
WebStorm: 2023.1.6, 2023.2.7, 2023.3.7, 2024.1.4
公告总结道:“如果您尚未更新到最新版本,我们强烈建议您尽快更新。”
原文始发于微信公众号(黑猫安全):JetBrains修复了IntelliJ IDE中暴露GitHub访问令牌的缺陷
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论