JetBrains

JetBrainsは、同社の統合開発環境(IDE)アプリIntelliJのユーザーに影響を与え、GitHubのアクセストークンを公開する重大な脆弱性にパッチを当てるよう顧客に警告した。

CVE-2024-37051として追跡されているこのセキュリティ上の欠陥は、JetBrains GitHubプラグインが有効化され、設定/使用されている2023.1以降のすべてのIntelliJベースのIDEに影響します。

「2024年5月29日、私たちはIDE内のプル・リクエストに影響を及ぼす脆弱性の可能性の詳細が記載された外部セキュリティ・レポートを受け取りました

「特に、IntelliJベースのIDEで処理されるGitHubプロジェクトへのプルリクエストの一部に悪意のあるコンテンツが含まれていると、サードパーティのホストにアクセストークンが公開されてしまいます。

JetBrainsは、影響を受けるIDEのバージョン2023.1以降で、この重大な脆弱性に対処するセキュリティアップデートをリリースした。

同社はまた、脆弱性のあるJetBrains GitHubプラグインにもパッチを適用し、以前に影響を受けたすべてのバージョンを公式プラグイン・マーケットプレイスから削除した。

IntelliJ IDE の修正済みバージョン一覧は以下の通り:

  • Aqua: 2024.1.2
  • CLion: 2023.1.7、2023.2.4、2023.3.5、2024.1.3、2024.2 EAP2
  • データグリップ:2024.1.4
  • データスペル:2023.1.6、2023.2.7、2023.3.6、2024.1.2
  • GoLand: 2023.1.6、2023.2.7、2023.3.7、2024.1.3、2024.2 EAP3
  • IntelliJ IDEA: 2023.1.7、2023.2.7、2023.3.7、2024.1.3、2024.2 EAP3
  • MPS: 2023.2.1、2023.3.1、2024.1 EAP2
  • PhpStorm: 2023.1.6、2023.2.6、2023.3.7、2024.1.3、2024.2 EAP3
  • PyCharm: 2023.1.6、2023.2.7、2023.3.6、2024.1.3、2024.2 EAP2
  • Rider2023.1.7, 2023.2.5, 2023.3.6, 2024.1.3
  • RubyMine: 2023.1.7、2023.2.7、2023.3.7、2024.1.3、2024.2 EAP4
  • RustRover: 2024.1.1
  • WebStorm: 2023.1.6、2023.2.7、2023.3.7、2024.1.4

GitHubトークンのパッチ適用と失効を管理者に促す

「最新版にアップデートしていない場合は、アップデートすることを強くお勧めします」とプレスクーニンは警告している。

JetBrainsは、セキュリティ修正に取り組むだけでなく、GitHubと連絡を取り、影響を最小限に抑えるよう支援した。緩和の過程で実施された措置により、古いバージョンのJetBrains IDEではJetBrains GitHubプラグインが期待通りに機能しない可能性がある。

JetBrains社はまた、IntelliJ IDEsでGitHubのプルリクエスト機能を積極的に使用している顧客に対し、脆弱性のあるプラグインで使用されているGitHubトークンを取り消すよう「強く」助言しました。

さらに、プラグインがOAuth統合またはPersonal Access Token(PAT)と共に使用されていた場合は、JetBrains IDE統合アプリのアクセス権も失効させ、IntelliJ IDEA GitHub統合プラグイントークンを削除する必要があります。

「トークンが取り消された後は、プラグインのすべての機能(Git操作を含む)が機能しなくなるため、プラグインを再度セットアップする必要があることに注意してください」とPleskunin氏は述べた。

JetBrainsは2月にも、攻撃者が管理者権限を得て脆弱なTeamCity On-Premisesサーバーを乗っ取ることを可能にする、重大な認証バイパスの脆弱性について警告していた