GitHub Enterprise Server 3.20.3 修補重大漏洞
GitHub 於 2026-05-28 釋出 GHES 3.20.3,修補 2 個重大漏洞與 3 個高風險漏洞,並因應 5 月 TeamPCP 供應鏈安全事件更新所有 GHES 發行套件簽章金鑰。
重大漏洞(Critical)
- CVE-2026-9312:前驗證 SSRF,上傳端點輸入驗證不足,可存取內部服務並竊取敏感憑證
- 簽章金鑰更新:因應 Mini Shai-Hulud 供應鏈攻擊(員工裝置遭惡意 VS Code 擴充套件感染,3,800 個內部儲存庫外洩),更新所有 GHES 發行套件簽章金鑰;管理員須在安裝更新前手動輪換 GPG 公鑰
高風險漏洞(High)
- CVE-2026-43284 / CVE-2026-43500:Linux Dirty Frag 核心漏洞(IPsec ESP / RxRPC),新版含修補後 Linux 底層
- CVE-2026-8606:GHES SSRF,透過安全公告套件查詢功能誘發內部 HTTP 請求,可利用回應時間差推測簽章密碼或私鑰;修復方式:直接移除整個受影響 API
升級注意事項
- 自訂防火牆規則會被清空
- Management Console 登入鎖定後不會自動解鎖,需 SSH 手動處理
- GitHub Actions + AWS S3 / GCS(OIDC)升級過程可能報錯,需手動修補
- 企業層級一鍵啟用 Secret/Code Scanning 會導致系統卡死,建議分組織分批開啟
來源文章
相關頁面
- github — GitHub 實體
- Mini Shai-Hulud供應鏈攻擊波及GitHub近3800個內部儲存庫遭外洩 — 關聯供應鏈事件
- software-supply-chain-attack — 軟體供應鏈攻擊