GitHubはEnterprise Serverバージョン3.20.3をリリースし、2件の重大な深刻度の脆弱性、2件の高深刻度の欠陥、およびいくつかの運用上のバグに対処しました。
重大な問題の1つはアップグレード前にGPGキーの手動ローテーションが必要なため、管理者は直ちに対応するよう求められています。
今回のリリースで最も緊急性の高いアップデートは、GHESリリースパッケージの署名キーの失効に関するものです。GitHubはGPG署名キーをローテーションしており、今後のリリースパッケージはすべて新しいキーのみで署名されます。
管理者が3.20.3パッチを適用する前に、GitHubの公式調査アップデートブログ投稿に詳細が記載されたGitHub製スクリプトを使用して、インスタンス上のGPG公開キーを手動でローテーションする必要があります。
CVE-2026-9312として追跡されている重大な欠陥は、アップロードエンドポイントにおける認証前のサーバーサイドリクエストフォージェリ(SSRF)脆弱性です。
GHESインスタンスへのネットワークアクセスを持つ攻撃者は、不十分な入力検証を悪用して内部サービスへ細工されたリクエストを送信することで、機密認証情報を露出させたり、制限された内部インフラにアクセスしたりする可能性があります。
GitHubはリクエストパラメータに厳格な入力検証を適用することでこの脆弱性を修正しました。この脆弱性はGitHub Bug Bountyプログラムを通じて責任ある開示が行われました。
IPsec ESPおよびRxRPCネットワーキングサブシステムに影響する2件の高深刻度Linuxカーネル脆弱性CVE-2026-43284およびCVE-2026-43500(総称「Dirty Frag」)は、ローカルの攻撃者がroot権限に昇格することを可能にする可能性があります。
これらの欠陥はインスタンスへのローカルアクセスを必要としますが、共有またはマルチテナント展開環境では重大なリスクをもたらします。
2番目の高深刻度の問題であるCVE-2026-8606は、2つの攻撃ベクトルを組み合わせたものです。攻撃者はセキュリティアドバイザリのパッケージ参照機能を標的としたタイミングサイドチャネル攻撃を通じて、機密の環境変数を抽出することができます。
さらに、GitHub Packagesが有効なインスタンスでは、パッケージ名の検証が欠如していたため、内部サービスへのSSRFが可能でした。
この攻撃はプライベートモードが無効の場合、認証なしで実行可能でした。GitHubはGHESから影響を受けたエンドポイントを完全に削除することでこれを緩和しました。
セキュリティパッチ以外にも、バージョン3.20.3はいくつかの注目すべきバグを解消しています。
このリリースには重要なインフラ改善も含まれています。メモリ枯渇によるメトリクス損失を防ぐため、OpenTelemetryコレクターのデフォルトメモリ制限が1024 MiBから4096 MiBへと4倍に引き上げられました。
クラスター管理コンソールは選択されているノードに関わらずNomadヘルスチェックデータを表示するようになり、collectd Nomadプラグインは128文字制限を超えていたメトリクス名を短縮するよう更新され、クラスター展開におけるメトリクス収集の欠落が解消されました。
本番環境でGHESを運用している管理者はこのアップデートを優先すべきであり、標準のアップグレードワークフローに進む前にGitHubのセキュリティアドバイザリに記載された必須GPGキーローテーション手順から始める必要があります。
翻訳元: https://cyberpress.org/github-enterprise-server-3-20-3-fixes/
