针对影响基于 IntelliJ 的 IDE 2023.1+ 和 JetBrains GitHub 插件的安全问题的更新

一个新发现的安全问题会影响 IntelliJ 平台上的 JetBrains GitHub 插件，可能导致访问令牌被泄露给第三方网站。 2023.1+ 版所有已启用并配置/正在使用 JetBrains GitHub 插件的基于 IntelliJ 的 IDE 都会受此问题影响。 

问题现已解决，2023.1+ 版所有基于 IntelliJ 平台的 IDE 均已获得修正。

可用的修正版本

• Aqua：2024.1.2
• CLion：2023.1.7、2023.2.4、2023.3.5、2024.1.3、2024.2 EAP2
• DataGrip：2024.1.4
• DataSpell：2023.1.6、2023.2.7、2023.3.6、2024.1.2
• GoLand：2023.1.6、2023.2.7、2023.3.7、2024.1.3、2024.2 EAP3
• IntelliJ IDEA：2023.1.7、2023.2.7、2023.3.7、2024.1.3、2024.2 EAP3
• MPS：2023.2.1、2023.3.1、2024.1 EAP2
• PhpStorm：2023.1.6、2023.2.6、2023.3.7、2024.1.3、2024.2 EAP3
• PyCharm：2023.1.6、2023.2.7、2023.3.6、2024.1.3、2024.2 EAP2
• Rider：2023.1.7、2023.2.5、2023.3.6、2024.1.3
• RubyMine：2023.1.7、2023.2.7、2023.3.7、2024.1.3、2024.2 EAP4
• RustRover：2024.1.1
• WebStorm：2023.1.6、2023.2.7、2023.3.7、2024.1.4

JetBrains GitHub 插件也已更新并获得修正，之前受影响的版本已从 JetBrains Marketplace 移除。 

如果您尚未更新，我们强烈建议更新到最新版本。

详细信息

2024 年 5 月 29 日，我们收到一份外部安全报告，其中包含将影响 IDE 内拉取请求的潜在漏洞的详细信息。 特别是，对 GitHub 项目的拉取请求中的恶意内容（项目将由基于 IntelliJ 的 IDE 处理）会将访问令牌暴露给第三方主机。 指定给此漏洞的 CVE ID 为 CVE-2024-37051。

除了评估问题和开始着手推出解决方案，我们还立即联系了 GitHub 来协助我们采取缓解措施。 请注意，由于这些缓解措施，旧版本 JetBrains IDE 中的 JetBrains GitHub 插件可能不会再按预期工作。

您需要做什么

首先，我们强烈建议更新到 IDE 的最新版本。 

此外，如果您在 IDE 中经常使用 GitHub 拉取请求功能，我们强烈建议您撤销插件正在使用的 GitHub 令牌。 由于插件可能使用 OAuth 集成或个人访问令牌 (PAT)，请检查两者并根据需要撤销：

1. OAuth 集成设置：转到 Applications → Authorized OAuth Apps（应用程序 → 授权的 OAuth 应用）并撤销 JetBrains IDE Integration（JetBrains IDE 集成）应用程序的访问权限。
2. 个人访问令牌设置：转到 Tokens（令牌）页面并删除为插件发放的令牌。 默认令牌名称为 IntelliJ IDEA GitHub integration plugin，您也可以使用自定义名称。

请注意，令牌被撤销后，您需要重新设置插件，因为所有插件功能（包括 Git 操作）都将停止工作。  

对于由此给您带来的不便，我们深表歉意。

谢谢！

 

本博文英文原作者：