GitHub釋出Enterprise Server 3.20.3修補多項重大漏洞
來源: iThome | 2026-05-28 URL: https://www.ithome.com.tw/news/176180
摘要
GitHub 釋出 GHES 3.20.3,修補 2 個重大漏洞與 3 個高風險漏洞,涵蓋 SSRF 漏洞及 Linux Dirty Frag 問題。此次更新亦因應 5 月供應鏈安全事件更新所有 GHES 發行套件簽章金鑰。
重大漏洞(Critical)
| CVE | 類型 | 說明 |
|---|---|---|
| CVE-2026-9312 | 前驗證 SSRF | 上傳端點輸入驗證不足,可存取內部服務並竊取敏感憑證 |
| (無編號) | 簽章金鑰更新 | 因應5月資安事件(員工裝置遭惡意 VS Code 擴充套件感染,3,800個內部儲存庫外洩),更新所有 GHES 發行套件簽章金鑰 |
⚠️ 管理員須在安裝更新前,手動輪換執行個體的 GPG 公鑰
高風險漏洞(High)
| CVE | 影響範圍 | 說明 |
|---|---|---|
| CVE-2026-43284 | Linux IPsec ESP | Dirty Frag 核心漏洞 |
| CVE-2026-43500 | Linux RxRPC | Dirty Frag 核心漏洞 |
| CVE-2026-8606 | GHES SSRF | 透過安全公告套件查詢功能誘發內部 HTTP 請求,可利用回應時間差推測簽章密碼或私鑰 |
CVE-2026-8606 特別說明
- Private Mode 關閉時:無需登入,外網可直接發動 SSRF
- Private Mode 開啟時:最低權限者仍可攻擊
- 修復方式:直接移除整個受影響的功能 API
已知問題
- 自訂防火牆規則會被清空
- Management Console 登入鎖定後不會自動解鎖,需 SSH 手動處理
- GitHub Actions + AWS S3 / GCS(OIDC):升級過程可能報錯,需手動下指令修補
- 企業層級一鍵啟用 Secret/Code Scanning 會導致系統卡死,建議分組織分批開啟
衍生頁面
- GitHub Enterprise Server 3.20.3修補多項重大漏洞 — 漏洞事件概念頁面
- github — GitHub 實體頁面