B
今週中
GitHubは、GitHub Enterprise Server (GHES) の重大な脆弱性を修正するバージョン 3.20.3 をリリースしました
📌 一言でいうと
GitHubは、GitHub Enterprise Server (GHES) の重大な脆弱性を修正するバージョン 3.20.3 をリリースしました。この更新では、認証前のSSRF脆弱性 (CVE-2026-9312) や、内部サービスへのリクエストを誘発し機密情報を推測させるSSRF (CVE-2026-8606)、およびLinuxカーネルの脆弱性 (Dirty Frag) が修正されています。また、過去のセキュリティインシデントへの対策として、すべての署名キーの更新も行われています。
🔍該当判定
- 自社で『GitHub Enterprise Server』をサーバーにインストールして運用している
- GitHub Enterprise Serverのバージョンが『3.20.3』より前のものである
- GitHub Enterprise Serverで『GitHub Packages』機能を有効にしている
- GitHub ActionsからAWS S3やGoogle Cloud StorageへOIDC認証で接続している
上記いずれにも該当しない(例:クラウド版のGitHub.comのみ利用している) → 静観でOK
✅該当時の対応
1. GHESをバージョン 3.20.3 にアップデートする。
2. アップデート前に、インスタンスのGPG公鑰をローテーションさせる。
3. アップデート後のカスタムファイアウォールルールの再設定および、管理コンソールのロック状態を確認する。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】GitHub Enterprise Server 3.20.3 へのアップデート対応について
お疲れさまです。GHESの重大な脆弱性修正に関する情報共有です。
■ 概要
GitHub Enterprise Serverにおいて、認証前のSSRF (CVE-2026-9312) や機密情報を漏洩させるSSRF (CVE-2026-8606)、およびLinuxカーネルの脆弱性 (Dirty Frag) が確認されました。また、過去のインシデント対策として署名キーの更新が行われています。
■ 影響範囲
- 対象製品: GitHub Enterprise Server (GHES)
- 修正バージョン: 3.20.3
■ 対応手順
1. インスタンスのGPG公鑰をローテーションさせる(アップデート前の必須作業)。
2. GHES 3.20.3 へアップデートを適用する。
3. アップデート後、カスタムファイアウォールルールが消去されているため、再設定を行う。
4. GitHub Actionsとクラウドストレージ (S3/GCS) の連携にエラーが出ていないか確認し、必要に応じて手動修復を行う。
■ 参考情報
- GitHub公式リリースノート
対応優先度: 高
対応期限: 速やかに
お疲れさまです。GHESの重大な脆弱性修正に関する情報共有です。
■ 概要
GitHub Enterprise Serverにおいて、認証前のSSRF (CVE-2026-9312) や機密情報を漏洩させるSSRF (CVE-2026-8606)、およびLinuxカーネルの脆弱性 (Dirty Frag) が確認されました。また、過去のインシデント対策として署名キーの更新が行われています。
■ 影響範囲
- 対象製品: GitHub Enterprise Server (GHES)
- 修正バージョン: 3.20.3
■ 対応手順
1. インスタンスのGPG公鑰をローテーションさせる(アップデート前の必須作業)。
2. GHES 3.20.3 へアップデートを適用する。
3. アップデート後、カスタムファイアウォールルールが消去されているため、再設定を行う。
4. GitHub Actionsとクラウドストレージ (S3/GCS) の連携にエラーが出ていないか確認し、必要に応じて手動修復を行う。
■ 参考情報
- GitHub公式リリースノート
対応優先度: 高
対応期限: 速やかに
Subject: [Action Required] Update to GitHub Enterprise Server 3.20.3
Dear IT/Security Team,
GitHub has released version 3.20.3 for GitHub Enterprise Server (GHES) to address several critical vulnerabilities.
■ Overview
This update patches pre-authentication SSRF (CVE-2026-9312), a high-risk SSRF allowing leakage of sensitive environment variables (CVE-2026-8606), and Linux kernel vulnerabilities (Dirty Frag). It also includes a rotation of all signature keys due to a previous security incident.
■ Scope
- Product: GitHub Enterprise Server (GHES)
- Fixed Version: 3.20.3
■ Action Plan
1. Rotate the instance's GPG public keys before applying the update.
2. Upgrade GHES to version 3.20.3.
3. Re-configure custom firewall rules, as they will be cleared during the update.
4. Verify GitHub Actions connectivity with AWS S3 or Google Cloud Storage (OIDC) and apply manual fixes if errors occur.
■ Reference
- GitHub Official Release Notes
Priority: High
Deadline: Immediate
Dear IT/Security Team,
GitHub has released version 3.20.3 for GitHub Enterprise Server (GHES) to address several critical vulnerabilities.
■ Overview
This update patches pre-authentication SSRF (CVE-2026-9312), a high-risk SSRF allowing leakage of sensitive environment variables (CVE-2026-8606), and Linux kernel vulnerabilities (Dirty Frag). It also includes a rotation of all signature keys due to a previous security incident.
■ Scope
- Product: GitHub Enterprise Server (GHES)
- Fixed Version: 3.20.3
■ Action Plan
1. Rotate the instance's GPG public keys before applying the update.
2. Upgrade GHES to version 3.20.3.
3. Re-configure custom firewall rules, as they will be cleared during the update.
4. Verify GitHub Actions connectivity with AWS S3 or Google Cloud Storage (OIDC) and apply manual fixes if errors occur.
■ Reference
- GitHub Official Release Notes
Priority: High
Deadline: Immediate