针对影响基于 IntelliJ 的 IDE 2023.1+ 和 JetBrains GitHub 插件的安全问题的更新
一个新发现的安全问题会影响 IntelliJ 平台上的 JetBrains GitHub 插件,可能导致访问令牌被泄露给第三方网站。 2023.1+ 版所有已启用并配置/正在使用 JetBrains GitHub 插件的基于 IntelliJ 的 IDE 都会受此问题影响。
问题现已解决,2023.1+ 版所有基于 IntelliJ 平台的 IDE 均已获得修正。
可用的修正版本
- Aqua:2024.1.2
- CLion:2023.1.7、2023.2.4、2023.3.5、2024.1.3、2024.2 EAP2
- DataGrip:2024.1.4
- DataSpell:2023.1.6、2023.2.7、2023.3.6、2024.1.2
- GoLand:2023.1.6、2023.2.7、2023.3.7、2024.1.3、2024.2 EAP3
- IntelliJ IDEA:2023.1.7、2023.2.7、2023.3.7、2024.1.3、2024.2 EAP3
- MPS:2023.2.1、2023.3.1、2024.1 EAP2
- PhpStorm:2023.1.6、2023.2.6、2023.3.7、2024.1.3、2024.2 EAP3
- PyCharm:2023.1.6、2023.2.7、2023.3.6、2024.1.3、2024.2 EAP2
- Rider:2023.1.7、2023.2.5、2023.3.6、2024.1.3
- RubyMine:2023.1.7、2023.2.7、2023.3.7、2024.1.3、2024.2 EAP4
- RustRover:2024.1.1
- WebStorm:2023.1.6、2023.2.7、2023.3.7、2024.1.4
JetBrains GitHub 插件也已更新并获得修正,之前受影响的版本已从 JetBrains Marketplace 移除。
如果您尚未更新,我们强烈建议更新到最新版本。
详细信息
2024 年 5 月 29 日,我们收到一份外部安全报告,其中包含将影响 IDE 内拉取请求的潜在漏洞的详细信息。 特别是,对 GitHub 项目的拉取请求中的恶意内容(项目将由基于 IntelliJ 的 IDE 处理)会将访问令牌暴露给第三方主机。 指定给此漏洞的 CVE ID 为 CVE-2024-37051。
除了评估问题和开始着手推出解决方案,我们还立即联系了 GitHub 来协助我们采取缓解措施。 请注意,由于这些缓解措施,旧版本 JetBrains IDE 中的 JetBrains GitHub 插件可能不会再按预期工作。
您需要做什么
首先,我们强烈建议更新到 IDE 的最新版本。
此外,如果您在 IDE 中经常使用 GitHub 拉取请求功能,我们强烈建议您撤销插件正在使用的 GitHub 令牌。 由于插件可能使用 OAuth 集成或个人访问令牌 (PAT),请检查两者并根据需要撤销:
- OAuth 集成设置:转到 Applications → Authorized OAuth Apps(应用程序 → 授权的 OAuth 应用)并撤销 JetBrains IDE Integration(JetBrains IDE 集成)应用程序的访问权限。
- 个人访问令牌设置:转到 Tokens(令牌)页面并删除为插件发放的令牌。 默认令牌名称为 IntelliJ IDEA GitHub integration plugin,您也可以使用自定义名称。
请注意,令牌被撤销后,您需要重新设置插件,因为所有插件功能(包括 Git 操作)都将停止工作。
对于由此给您带来的不便,我们深表歉意。
谢谢!
本博文英文原作者: