開發社群平臺GitHub本周釋出GitHub Enterprise Server(GHES)3.20.3,修補多項重大及高風險漏洞,包括2個SSRF漏洞,以及關於上週發生資安事件與Linux Dirty Frag等問題。
最新版更新修補的兩項重大漏洞,其一為編號CVE-2026-9312,為存在上傳端點的前驗證(pre-authentication)伺服器端請求偽造(server-side request forgery,SSRF)漏洞,起於輸入驗證不足,本漏洞讓攻擊者可傳送變造的請求到內部服務,進而成功存取內部服務並曝露敏感憑證。欲濫用本漏洞,攻擊者需要能存取GHES執行個體。
第二項漏洞沒有編號,而是因應5月份資安事件的補強作業。在該事件中,GitHub一名員工裝置因安裝了遭植入惡意軟體的VS Code擴充套件,讓駭客得以竊取約3,800個內部儲存庫資料。在新版軟體中,GitHub更新了GHES發行套件的所有簽章金鑰。未來新版也只能以新金鑰簽發。GitHub Enterprise Server管理員必須在更新修補程式之前輪換執行個體的GPG(GNU Privacy Guard)公鑰。
GitHub Enterprise Server 3.20.3另外還修補了3個高風險漏洞。其中兩個是和代號Dirty Frag的Linux核心漏洞CVE-2026-43284及CVE-2026-43500有關,二者分別影響IPsec ESP和RxRPC子系統元件。新版軟體則包含了解決漏洞的Linux底層。
第三項高風險漏洞編號CVE-2026-8606。這是影響GHES的SSRF漏洞,能讓攻擊者以安全公告套件查詢(lookup)功能誘發伺服器向內部服務發送HTTP請求,然後攻擊者結合第二步手法,量測服務回應時間差(如回應的秒數),藉此推測出敏感環境變項值,包括簽章密碼或私鑰。要濫用本漏洞,執行個體必須先啟用GitHub套件。
值得說明的是,這個漏洞風險很高。私有模式(Private Mode)關閉時,攻擊者不需要登入,可從外網直接發送請求就能發動SSRF,而啟用時也擋不住最低權限者攻擊。為了最徹底解決,GHES 3.20.3版本直接把這整個受影響的功能API移除。
但GitHub也說明新版本已知問題。包括自訂防火牆規則會被清空;管理員後臺(Management Console)登入失敗被鎖時不會自動解鎖,必須用SSH進後臺手動處理。其次,Actions與雲端儲存可能卡死:如果GitHub Actions有連動AWS S3或Google Cloud Storage(OIDC驗證),升級過程中可能會報錯中斷,需要進後臺下指令手動修補。最後,GitHub提醒,如果在企業最高層級「一鍵啟用」全公司的Secret/Code Scanning,會因為瞬間載入量過大導致系統卡死,GitHub建議到各個組織(Org)分批開啟。
