26 мая 2026 года компания GitHub выпустила обновление корпоративного сервера (Enterprise Server) версии 3.20.3. Этот релиз закрывает несколько критических и опасных уязвимостей, которые позволяли злоумышленникам получать доступ к внутренним сервисам, повышать привилегии в системе и извлекать конфиденциальные данные. Вдобавок разработчики ввели важное требование: перед установкой патча администраторам необходимо сменить криптографические ключи для подписи релизов.
Главная угроза: подделка запросов до аутентификации
Наиболее серьёзная проблема, устранённая в этом обновлении, - уязвимость подделки серверных запросов (SSRF - тип атаки, при которой злоумышленник заставляет внутренний сервер отправлять запросы от своего имени) без предварительной аутентификации. Этот баг получил идентификатор CVE-2026-9312. Причина заключалась в недостаточной проверке входящих данных в одном из узлов загрузки файлов.
Злоумышленник, имеющий сетевой доступ к экземпляру корпоративного сервера GitHub, мог отправлять специально сформированные запросы к внутренним сервисам организации. В результате становилось возможным получить доступ к учётным данным или совершать несанкционированные операции в инфраструктуре. GitHub подтвердил, что уязвимость была обнаружена в рамках программы вознаграждения за поиск багов. В патче разработчики ввели более строгую проверку параметров запросов, что блокирует передачу вредоносных данных внутренним сервисам.
Смена ключей подписи: обязательная процедура
Особого внимания заслуживает решение GitHub отозвать действующий ключ подписи для пакетов корпоративного сервера. Это произошло после внутреннего расследования безопасности. Все будущие релизы будут подписываться новым ключом, поэтому администраторам необходимо обновить открытые GPG-ключи (криптографические ключи для проверки подлинности пакетов) в своих системах перед установкой патча. Компания подготовила специальный скрипт, который упрощает переход и снижает операционную нагрузку на команды.
Уязвимости высокого уровня опасности и повышение привилегий
В обновлении исправлены две уязвимости ядра Linux под названием Dirty Frag (CVE-2026-43284 и CVE-2026-43500). Они затрагивают подсистемы IPsec ESP (протокол шифрования сетевого трафика) и RxRPC (протокол удалённого вызова процедур). Злоумышленник с локальным доступом к системе мог использовать эти баги для повышения привилегий до уровня root.
Кроме того, устранена уязвимость CVE-2026-8606. Она сочетала в себе атаку по временному побочному каналу (анализ времени ответа сервера для получения данных) с SSRF-вектором. Такое сочетание позволяло извлекать конфиденциальные переменные окружения через функцию GitHub Packages. Интересно, что для эксплуатации не требовалась аутентификация, если был отключён приватный режим. В других случаях атаку мог совершить любой аутентифицированный пользователь. GitHub решил проблему радикально - полностью удалил уязвимый URL-узел из корпоративного сервера, ликвидировав саму возможность атаки.
Исправления стабильности и производительности
Помимо закрытия уязвимостей, релиз содержит несколько исправлений ошибок и улучшений. Разработчики решили проблему, при которой запуск и остановка службы Nomad не вызывали создание снимков состояния, что снижало устойчивость системы. Также исправлен баг рендеринга разметки Markdown, из-за которого изображения, загруженные до обновления с более старых версий, некорректно отображались внутри таблиц.
В этом же обновлении устранена проблема обхода механизма сканирования секретов. Пользователи могли использовать группы захвата в регулярных выражениях для обхода ограничений подстановочных символов, что ухудшало производительность сканирования.
С точки зрения производительности, GitHub увеличил стандартный объём памяти для сборщика телеметрии OpenTelemetry с 1024 мегабайт до 4096 мегабайт. Это предотвращает потерю метрик при высоких нагрузках. Мониторинг кластеров также улучшен - теперь видимость состояния системы не зависит от того, какой узел является лидирующим. Вдобавок изменения в правилах именования метрик помогают избежать пропусков данных из-за конфликтов имён в крупных развёртываниях.
Известные проблемы и подготовка к обновлению
GitHub предупредил администраторов о нескольких известных проблемах, которые стоит учесть перед установкой патча. В процессе обновления пользовательские правила брандмауэра удаляются, и их потребуется вручную применять заново. Кроме того, существуют сценарии, при которых учётные записи администраторов могут оставаться заблокированными после многократных неудачных попыток входа. В таких случаях разблокировку придётся выполнять вручную через SSH.
Рекомендации для организаций
Компаниям, использующим корпоративный сервер GitHub, следует рассматривать это обновление как приоритетное из-за серьёзности устранённых уязвимостей. Администраторам необходимо выполнить ротацию ключей подписи GPG перед установкой патча и затем проверить корректную работу всех сервисов. Также рекомендуется ограничить сетевой доступ к экземплярам корпоративного сервера для снижения риска SSRF-атак и после обновления повторно применить все настройки брандмауэра. Тщательная проверка кластерных конфигураций и систем мониторинга позволит избежать операционных сбоев.
Этот релиз наглядно демонстрирует растущие риски, связанные с уязвимостями подделки серверных запросов и атаками по побочным каналам в корпоративных платформах. Своевременное управление патчами, строгая проверка входных данных и безопасная настройка конфигураций остаются ключевыми элементами защиты современных инфраструктур.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2026-8606
- https://www.cve.org/CVERecord?id=CVE-2026-43284
- https://www.cve.org/CVERecord?id=CVE-2026-43500
- https://docs.github.com/en/enterprise-server@3.20/admin/release-notes#3.20.3
