{ "document" : { "aggregate_severity" : { "text" : "hoch" }, "category" : "csaf_base", "csaf_version" : "2.0", "distribution" : { "tlp" : { "label" : "WHITE", "url" : "https://www.first.org/tlp/" } }, "lang" : "de-DE", "notes" : [ { "category" : "legal_disclaimer", "text" : "Das BSI ist als Anbieter für die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch dafür verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgfältig im Einzelfall zu prüfen." }, { "category" : "description", "text" : "GitHub ist ein netzbasierter Dienst zur Versionsverwaltung für Software-Entwicklungsprojekte.", "title" : "Produktbeschreibung" }, { "category" : "summary", "text" : "Ein entfernter, anonymer Angreifer kann mehrere Schwachstellen in Microsoft GitHub Enterprise ausnutzen, um Dateien zu manipulieren oder Sicherheitsvorkehrungen zu umgehen.", "title" : "Angriff" }, { "category" : "general", "text" : "- UNIX\n- Linux\n- Windows", "title" : "Betroffene Betriebssysteme" } ], "publisher" : { "category" : "other", "contact_details" : "csaf-provider@cert-bund.de", "name" : "Bundesamt für Sicherheit in der Informationstechnik", "namespace" : "https://www.bsi.bund.de" }, "references" : [ { "category" : "self", "summary" : "WID-SEC-W-2023-0905 - CSAF Version", "url" : "https://wid.cert-bund.de/.well-known/csaf/white/2023/wid-sec-w-2023-0905.json" }, { "category" : "self", "summary" : "WID-SEC-2023-0905 - Portal Version", "url" : "https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2023-0905" }, { "category" : "external", "summary" : "Github Enterpreise Server Release Notes vom 2023-04-10", "url" : "https://docs.github.com/de/enterprise-server@3.8/admin/release-notes#3.8.1-security-fixes" } ], "source_lang" : "en-US", "title" : "Microsoft GitHub Enterprise: Mehrere Schwachstellen", "tracking" : { "current_release_date" : "2023-04-10T22:00:00.000+00:00", "generator" : { "date" : "2024-08-15T17:48:24.665+00:00", "engine" : { "name" : "BSI-WID", "version" : "1.3.5" } }, "id" : "WID-SEC-W-2023-0905", "initial_release_date" : "2023-04-10T22:00:00.000+00:00", "revision_history" : [ { "date" : "2023-04-10T22:00:00.000+00:00", "number" : "1", "summary" : "Initiale Fassung" } ], "status" : "final", "version" : "1" } }, "product_tree" : { "branches" : [ { "branches" : [ { "category" : "product_name", "name" : "Microsoft GitHub Enterprise < 3.8.1", "product" : { "name" : "Microsoft GitHub Enterprise < 3.8.1", "product_id" : "T027154", "product_identification_helper" : { "cpe" : "cpe:/a:microsoft:github_enterprise:3.8.1" } } } ], "category" : "vendor", "name" : "Microsoft" } ] }, "vulnerabilities" : [ { "cve" : "CVE-2023-23762", "notes" : [ { "category" : "description", "text" : "Es existiert eine Schwachstelle in Microsoft GitHub Enterprise. Diese Anfälligkeit ist auf einen fehlerhaften Vergleich zurückzuführen und ermöglicht dadurch eine Umgehung von Sicherheitsvorkehrungen, welche zu einem Commit-Smuggling führt. Ein entfernter, authentisierter Angreifer kann diese Schwachstelle ausnutzen, um Sicherheitsvorkehrungen zu umgehen." } ], "release_date" : "2023-04-10T22:00:00.000+00:00", "title" : "CVE-2023-23762" }, { "cve" : "CVE-2023-23761", "notes" : [ { "category" : "description", "text" : "Es existiert eine Schwachstelle in Microsoft GitHub Enterprise. Diese ist auf einen Fehler bei der Authentisierung durch eine SSH-Zertifikat-Autorität zurückzuführen. Diese ermöglicht es, wenn die URL zum geheimen GIST eines Nutzers bekannt ist, die Authentisierung zu umgehen und dieses zu manipulieren. Ein entfernter, anonymer Angreifer kann diese Schwachstelle ausnutzen, um Dateien zu manipulieren." } ], "release_date" : "2023-04-10T22:00:00.000+00:00", "title" : "CVE-2023-23761" } ] }