GitHub Enterprise Server 3.20.3: Sicherheitsupdate mit Fox gegen kritische Schwachstellen

Ab diesem Patch werden alle GHES-Images ausschlielich mit einem neuen Schlssel signiert, was bedeutet, dass Administratoren die vertrauenswrdigen ffentlichen Schlssel auf ihren Appliances vor dem Upgrade aktualisieren mssen.

GitHub Enterprise 3.20.3 Fixes: GitHub stellt ein offizielles Skript und ein dokumentiertes Verfahren zur Automatisierung dieser Signaturschlssel-Rotation bereit, sodass Administratoren die neuen Artefakte sicher vertrauen knnen.

Wenn der Schritt zur Schlüsselrotation übersprungen wird, schlägt die Signaturüberprüfung beim Upgrade fehl, was die Bereitstellung 3.20.3 blockiert und wichtige Sicherheitsupdates verzögert. Die Hauptkorrektur Version 3.20.3 betrifft eine kritische Serverseitige-Request-Forgery-(SSRF)-Schwachstelle Upload-Endpunkt vor der Authentifizierung.

Technischer Hintergrund

Eingabeparameter nicht streng validiert wurden, konnte ein Angreifer mit Netzwerkzugriff auf die GHES-Instanz Upload-Anfragen erstellen, die dazu führen, dass der Server interne HTTP-Aufrufe ausführt, wodurch interne Dienste erreicht, Zugangsdaten oder Konfigurationsdaten offengelegt werden könnten.

Dieses Problem, das als CVE‑2026‑9312 verfolgt und über das GitHub Bug Bounty Program gemeldet wurde, stellte ein erhebliches Risiko für Instanzen dar, die aus weniger vertrauenswürdigen Netzwerken erreichbar sind.

GitHub hat die Schwachstelle durch eine Verschärfung der Eingabevalidierung Endpunkt behoben, die erreichbaren Ziele eingeschränkt und verhindert, dass dieser Endpunkt als allgemeiner SSRF-Primitive gegen die interne Infrastruktur missbraucht wird.

Sicherheitslage und Risiko

GHES 3.20.3 adressiert zwei hochkritische Privilegien-Eskalations-Schwachstellen in den IPsec ESP- und RxRPC-Netzwerk-Subsystemen des Linux-Kernels, die gemeinsam als „Dirty Frag" bezeichnet werden.

Auf verwundbaren Geräten könnte ein lokaler Angreifer diese Fehler ausnutzen, Root zu eskalieren und damit vollständige Kontrolle über das darunterliegende Betriebssystem zu erlangen.

GitHub beantragte die CVE-Nummern CVE-2026-43284 und CVE-2026-43500 für diese Schwachstellen und aktualisierte den mitgelieferten Kernel auf eine gepatchte Version Rahmen dieses Updates.

Technischer Hintergrund

In geteilten Umgebungen, in denen mehrere Teams oder automatisierte Prozesse Shell-Zugriff haben, verringert dies das Risiko, dass ein niedrig privilegiertes Einfallstor Gerät zu einem vollständigen Kompromittierung führt.

Neben den Hauptproblemen enthält GHES 3.20.3 mehrere Sicherheitskorrekturen, die in den vorherigen 3.20.x-Updates eingeführt wurden und sich auf SSRF sowie die Offenlegung sensibler Daten konzentrieren.

Dazu gehren ein Timing-Side-Channel Notebook-Viewer, der Umgebungsvariablen ausleiten knnte, sowie ein interner Endpunkt Pakete, der bei deaktiviertem Private-Modus fr unauthentifizierte SSRF missbraucht werden kann.

Sicherheitslage und Risiko

GitHub hat diesen Schwachstellen die CVEs CVE20265921 und CVE20268606 zugewiesen und darauf hingewiesen, dass externe Forscher viele davon ber das Bug-Bounty-Programm entdeckt haben. Insgesamt reduzieren diese nderungen die Angriffsflche fr den Zugriff auf interne Dienste und die Extraktion oder internetexponierten GHES-Instanzen erheblich.

Verbesserungen der Zuverlssigkeit und des Betriebs Die Release-Version 3.20.3 enthlt zudem nicht-sicherheitsrelevante Verbesserungen, die die Resilienz und die Beobachtbarkeit in groen Bereitstellungen erhhen.

Lebenszyklusereignisse Snapshots aus, wodurch der Clusterzustand besser erhalten bleibt, und die Standard-Grenze fr den Arbeitsspeicher des OpenTelemetry-Collectors wurde erhht, Metrik-Abbrche unter hoher Last zu verhindern. GitHub hat zudem UX- und Kompatibilitätsprobleme behoben, wie z.

Sicherheitslage und Risiko

B. die fehlerhafte Darstellung veralteter Bilder Markdown-Tabellen sowie das Vorhandensein eines nicht unterstützten Copilot-Tab in den Einstellungen der GitHub App auf GHES. Diese Verbesserungen der Benutzerfreundlichkeit verringern den operativen Aufwand und ermöglichen Teams, sich auf rechtzeitige Patches und Sicherheitsüberwachung zu konzentrieren.

GitHub empfiehlt allen Kunden auf GHES 3.20.x, nach Abschluss der erforderlichen GPG-Schlüsselrotation gemäß der offiziellen Anleitung die Aktualisierung auf Version 3.20.3 vorrangig durchzuführen.

Instanzen, die ungesicherten Netzwerken ausgesetzt sind oder bei denen mehrere interne Teams Zugriff haben, sollten diese Veröffentlichung als dringend einstufen, da sie sowohl einen Pre-Auth-SSRF-Vektor als auch einen zuverlässigen lokalen Weg zur Privilegien-Eskalation entfernt.

Sicherheitslage und Risiko

Administratoren sollten zudem die Exposition, Notebook-Diensten und Paket-Endpunkten erneut überprüfen und wo möglich zusätzliche Netzwerkksegmentierung und Zugriffskontrollen implementieren. Dieser mehrschichtige Ansatz wird dazu beitragen, den Auswirkungsbereich zukünftiger Schwachstellen zu begrenzen und die allgemeine Sicherheitslage stärken.

Abi ist Sicherheitsredakteurin und Mitautorin bei