GitHub釋出Enterprise Server 3.20.3修補多項重大漏洞

來源: iThome | 2026-05-28 URL: https://www.ithome.com.tw/news/176180

摘要

GitHub 釋出 GHES 3.20.3,修補 2 個重大漏洞與 3 個高風險漏洞,涵蓋 SSRF 漏洞及 Linux Dirty Frag 問題。此次更新亦因應 5 月供應鏈安全事件更新所有 GHES 發行套件簽章金鑰。

重大漏洞(Critical)

CVE類型說明
CVE-2026-9312前驗證 SSRF上傳端點輸入驗證不足,可存取內部服務並竊取敏感憑證
(無編號)簽章金鑰更新因應5月資安事件(員工裝置遭惡意 VS Code 擴充套件感染,3,800個內部儲存庫外洩),更新所有 GHES 發行套件簽章金鑰

⚠️ 管理員須在安裝更新前,手動輪換執行個體的 GPG 公鑰

高風險漏洞(High)

CVE影響範圍說明
CVE-2026-43284Linux IPsec ESPDirty Frag 核心漏洞
CVE-2026-43500Linux RxRPCDirty Frag 核心漏洞
CVE-2026-8606GHES SSRF透過安全公告套件查詢功能誘發內部 HTTP 請求,可利用回應時間差推測簽章密碼或私鑰

CVE-2026-8606 特別說明

  • Private Mode 關閉時:無需登入,外網可直接發動 SSRF
  • Private Mode 開啟時:最低權限者仍可攻擊
  • 修復方式:直接移除整個受影響的功能 API

已知問題

  • 自訂防火牆規則會被清空
  • Management Console 登入鎖定後不會自動解鎖,需 SSH 手動處理
  • GitHub Actions + AWS S3 / GCS(OIDC):升級過程可能報錯,需手動下指令修補
  • 企業層級一鍵啟用 Secret/Code Scanning 會導致系統卡死,建議分組織分批開啟

衍生頁面