IntelliJ 기반의 IDE(2023.1+)와 JetBrains GitHub 플러그인에 영향을 주는 보안 문제에 대한 업데이트

IntelliJ 플랫폼에서 JetBrains GitHub 플러그인에 영향을 주어 타사 사이트에 액세스 토큰을 유출할 수 있는 새로운 보안 문제가 발견되었습니다. 이 문제는 JetBrains GitHub 플러그인이 활성화, 구성 및 사용되는 2023.1 이상의 모든 IntelliJ IDE에 영향을 줍니다.

이제 IntelliJ 플랫폼 2023.1 이상을 기반으로 하는 모든 IDE에 수정이 배포되어 해당 문제는 해결되었습니다.

수정된 버전

• Aqua: 2024.1.2
• CLion: 2023.1.7, 2023.2.4, 2023.3.5, 2024.1.3, 2024.2 EAP2
• DataGrip: 2024.1.4
• DataSpell: 2023.1.6, 2023.2.7, 2023.3.6, 2024.1.2
• GoLand: 2023.1.6, 2023.2.7, 2023.3.7, 2024.1.3, 2024.2 EAP3
• IntelliJ IDEA: 2023.1.7, 2023.2.7, 2023.3.7, 2024.1.3, 2024.2 EAP3
• MPS: 2023.2.1, 2023.3.1, 2024.1 EAP2
• PhpStorm: 2023.1.6, 2023.2.6, 2023.3.7, 2024.1.3, 2024.2 EAP3
• PyCharm: 2023.1.6, 2023.2.7, 2023.3.6, 2024.1.3, 2024.2 EAP2
• Rider: 2023.1.7, 2023.2.5, 2023.3.6, 2024.1.3
• RubyMine: 2023.1.7, 2023.2.7, 2023.3.7, 2024.1.3, 2024.2 EAP4
• RustRover: 2024.1.1
• WebStorm: 2023.1.6, 2023.2.7, 2023.3.7, 2024.1.4

이번 수정으로 JetBrains GitHub 플러그인도 업데이트되었으며, 영향을 받은 이전 버전은 JetBrains Marketplace에서 제거되었습니다.

아직 최신 버전으로 업데이트하지 않은 경우 업데이트할 것을 강력하게 권장합니다.

세부 정보

2024년 5월 29일에 당사는 IDE 내에서 풀 리퀘스트에 영향을 줄 수 있는 잠재적인 취약점에 관한 외부 보안 보고서를 받았습니다. 특히 풀 리퀘스트에 포함된 악의적인 콘텐츠가 GitHub로 전송되어 IntelliJ 기반의 IDE가 이를 처리하게 되면, 타사 호스트에 액세스 토큰이 노출될 수 있었습니다. 이 취약점에 할당된 CVE ID는 CVE-2024-37051입니다.

당사는 이 문제를 평가하고 해결 방안을 만드는 동시에 GitHub에도 연락을 취해 문제 완화를 위한 지원을 받았습니다. 영향을 최소화하기 위한 이런 조치로 인해 이전 버전의 JetBrains IDE에 포함된 JetBrains GitHub 플러그인이 예기치 않게 동작할 수 있습니다.

사용자가 취해야 하는 조치

우선 IDE를 최신 버전으로 업데이트할 것을 강력하게 권장합니다.

또한, IDE 내에서 GitHub 풀 리퀘스트 기능을 많이 사용하신 경우 플러그인이 사용 중인 GitHub 토큰을 취소하는 것이 좋습니다. 플러그인이 OAuth 통합 기능이나 개인 액세스 토큰(PAT)을 사용할 수 있기 때문에 둘 다 확인하고 필요한 경우 취소하세요.

1. OAuth 통합 설정: Applications(애플리케이션) → Authorized OAuth Apps(인증된 OAuth 앱)로 이동한 다음 JetBrains IDE 통합 애플리케이션의 액세스를 취소하세요.
2. 개인 액세스 토큰 설정: Tokens(토큰) 페이지로 이동한 다음 플러그인에 발행된 토큰을 삭제하세요. 디폴트 토큰 이름은 IntelliJ IDEA GitHub integration plugin이지만 사용자가 지정한 이름일 수도 있습니다.

토큰이 취소된 후에는 모든 플러그인 기능(Git 작업 포함)이 동작하지 않으므로 플러그인을 다시 설정해야 합니다.

이 문제로 불편을 끼쳐 드려 진심으로 사과드립니다.

감사합니다.

게시물 원문 작성자