Была обнаружена новая проблема безопасности, затрагивающая плагин JetBrains GitHub, потенциально приводящая к раскрытию токенов доступа сторонним сайтам. Проблема затрагивает все IDE на базе IntelliJ начиная с версии 2023.1, если у них включен и настроен/используется плагин JetBrains GitHub.
Проблема уже устранена, и для всех IDE на базе платформы IntelliJ, начиная с версии 2023.1, выпущено обновление, содержащее исправление.
Список апдейтов с фиксом
Aqua: 2024.1.2
CLion: 2023.1.7, 2023.2.4, 2023.3.5, 2024.1.3, 2024.2 EAP2
DataGrip: 2023.1.3, 2023.2.4, 2023.3.5, 2024.1.4
DataSpell: 2023.1.6, 2023.2.7, 2023.3.6, 2024.1.2
GoLand: 2023.1.6, 2023.2.7, 2023.3.7, 2024.1.3, 2024.2 EAP3
IntelliJ IDEA: 2023.1.7, 2023.2.7, 2023.3.7, 2024.1.3, 2024.2 EAP3
MPS: 2023.2.1, 2023.3.1, 2024.1 EAP2
PhpStorm: 2023.1.6, 2023.2.6, 2023.3.7, 2024.1.3, 2024.2 EAP3
PyCharm: 2023.1.6, 2023.2.7, 2023.3.6, 2024.1.3, 2024.2 EAP2
Rider: 2023.1.7, 2023.2.5, 2023.3.6, 2024.1.3
RubyMine: 2023.1.7, 2023.2.7, 2023.3.7, 2024.1.3, 2024.2 EAP4
RustRover: 2024.1.1
WebStorm: 2023.1.6, 2023.2.7, 2023.3.7, 2024.1.4
Плагин JetBrains GitHub был обновлен, и исправленные версии теперь доступны в маркете. Старые, уязвимые версии были удалены из JetBrains Marketplace. Мы настоятельно рекомендуем обновиться до последней версии, если вы еще этого не сделали.
Детали
29 мая 2024 года мы получили внешний отчет о безопасности с подробной информацией о возможной уязвимости, которая может затрагивать функциональность pull request через IDE. В частности, вредоносное содержимое, являющееся частью pull request в проект на GitHub, обрабатываемого в IDE на базе IntelliJ, могло бы привести к утечке токенов доступа на сторонний сервер. Уязвимости был присвоен идентификатор CVE-2024-37051.
В дополнение к оценке проблемы и началу работы над ее решением, мы также немедленно связались с GitHub для помощи в смягчении последствий. Обратите внимание, что из-за этих мер плагин JetBrains GitHub в старых версиях IDE JetBrains может больше не работать должным образом.
Что требуется от вас
Прежде всего, мы настоятельно рекомендуем обновиться до последней доступной версии вашей IDE.
Кроме того, если вы активно использовали функциональность GitHub pull request в IDE, мы настоятельно советуем отозвать все токены GitHub, используемые плагином. Поскольку плагин может использовать интеграцию OAuth или личный токен доступа (Personal Access Token - PAT), проверьте оба и при необходимости отзовите их:
Настройки интеграции OAuth: перейдите в раздел "Applications" → "Authorized OAuth Apps" и отзовите доступ для приложения JetBrains IDE Integration.
Настройки личного токена доступа: перейдите на страницу токенов и удалите токен, выданный для плагина. Имя токена по умолчанию — IntelliJ IDEA GitHub integration plugin, но вы также могли использовать свои собственные имена.
Обратите внимание, что после отзыва токена вам потребуется заново настроить плагин, так как все его функции (включая операции с Git) перестанут работать.
Мы искренне приносим извинения за возможные неудобства. Спасибо за понимание.
Присоединяйтесь к русскоязычному сообществу разработчиков на Spring Boot в телеграм - Spring АйО, чтобы быть в курсе последних новостей из мира разработки на Spring Boot и всего, что с ним связано.
Ждем всех, присоединяйтесь!
