ИБ-эксперт получил $18 тыс. за уязвимость в GitHub Enterprise

Сервис GitHub выплатил $18 тыс. исследователю, обнаружившему уязвимость в GitHub Enterprise, позволяющую удаленно выполнить код. Проблема была исправлена 31 января текущего года с выходом GitHub Enterprise 2.8.7, однако GitHub и независимый исследователь Маркус Фенске (Markus Fenske) раскрыли подробности о ней только на прошлой неделе.

GitHub Enterprise представляет собой корпоративную версию GitHub.com, предназначенную для развертывания платформы GitHub в приватной сети. Фенске решил заняться поиском уязвимостей в платформе, вдохновившись публикацией исследователя Orange Tsai о возможности SQL-инъекции в GitHub Enterprise. Эксперт обнаружил проблему за две минуты во время расшифровки исходного кода. Фенске наткнулся на уязвимость в первом же файле (config.ru) первого приложения (интерфейс управления).

Проблема была исправлена спустя всего 5 дней с момента получения уведомления о ней. В рамках программы выплаты вознаграждений Фенске получил $10 тыс. и место в «Зале славы» GitHub. В дальнейшем компания выплатила исследователю дополнительные $8 тыс.