A JetBrains alertou os clientes para corrigir uma vulnerabilidade crítica que afeta os usuários de seus aplicativos de ambiente de desenvolvimento integrado (IDE) IntelliJ. A falha identificada no IntelliJ IDE expõe tokens de acesso do GitHub.
A falha do IntelliJ IDE e a exposição de tokens de acesso do GitHub
Rastreada como CVE-2024-37051, esta falha de segurança afeta todos os IDEs baseados em IntelliJ de 2023.1 em diante, onde o plugin JetBrains GitHub está habilitado e configurado/usado. “No dia 29 de maio de 2024, recebemos um relatório de segurança externo com detalhes de uma possível vulnerabilidade que afetaria solicitações pull dentro do IDE”, disse Ilya Pleskunin, líder da equipe de suporte de segurança da JetBrains.
Pleskunin disse ainda que, “em particular, o conteúdo malicioso como parte de uma solicitação pull para um projeto GitHub que seria tratado por IDEs baseados em IntelliJ exporia tokens de acesso a um host de terceiros.”
A JetBrains lançou atualizações de segurança que abordam esta vulnerabilidade crítica nos IDEs afetados versão 2023.1 ou posterior. Além disso, a empresa também corrigiu o plug-in JetBrains GitHub vulnerável e, desde então, removeu todas as versões anteriormente afetadas de seu mercado oficial de plug-ins.
A lista completa de versões fixas para IDEs IntelliJ inclui:
- Aqua: 2024.1.2;
- CLion: 2023.1.7, 2023.2.4, 2023.3.5, 2024.1.3, 2024.2 EAP2;
- DataGrip: 2024.1.4;
- DataSpell: 2023.1.6, 2023.2.7, 2023.3.6, 2024.1.2;
- GoLand: 2023.1.6, 2023.2.7, 2023.3.7, 2024.1.3, 2024.2 EAP3;
- IntelliJ IDEA: 2023.1.7, 2023.2.7, 2023.3.7, 2024.1.3, 2024.2 EAP3;
- MPS: 2023.2.1, 2023.3.1, 2024.1 EAP2;
- PhpStorm: 2023.1.6, 2023.2.6, 2023.3.7, 2024.1.3, 2024.2 EAP3;
- PyCharm: 2023.1.6, 2023.2.7, 2023.3.6, 2024.1.3, 2024.2 EAP2;
- Rider: 2023.1.7, 2023.2.5, 2023.3.6, 2024.1.3;
- RubyMine: 2023.1.7, 2023.2.7, 2023.3.7, 2024.1.3, 2024.2 EAP4;
- Rust Rover: 2024.1.1;
- WebStorm: 2023.1.6, 2023.2.7, 2023.3.7, 2024.1.4.
Se você não atualizou para a versão mais recente, Pleskunin recomenda fortemente que o faça. Além de trabalhar em uma correção de segurança, a JetBrains contatou o GitHub para ajudar a minimizar o impacto. Devido às medidas implementadas durante o processo de mitigação, o plug-in GitHub da JetBrains pode não funcionar conforme esperado em versões mais antigas dos IDEs da JetBrains.
A JetBrains também aconselhou “fortemente” os clientes que usaram ativamente a funcionalidade de solicitação pull do GitHub em IDEs do IntelliJ a revogar quaisquer tokens do GitHub usados pelo plug-in vulnerável, pois eles poderiam fornecer aos invasores em potencial acesso às contas vinculadas do GitHub, mesmo com a proteção adicional de dois fatores. autenticação.
Além disso, se o plug-in foi usado com integração OAuth ou Personal Access Token (PAT), eles também deverão revogar o acesso ao aplicativo JetBrains IDE Integration e excluir o token do plug-in de integração IntelliJ IDEA GitHub.