GitHub企业版是GitHub.com的本地版本，组织机构为平均每10个用户支付2500美元的年费。该产品承诺提供企业级别的安全，24/7技术支持、托管选项以及多种GitHub.com上不具备的管理员功能。

GitHub企业版版本2.8.5、2.8.6和2.8.7发布于1月份，修复了多个严重和高危缺陷，包括能被用于绕过验证且可远程执行任意代码的漏洞。

安全研究人员发现GitHub企业版多个漏洞 并获数万美元奖励-E安全

发现这些漏洞的研究人员已开始公布研究成果，而来自GitHub和专家自己的消息显示他们为此赢得不少奖励。2017年年初，GitHub将其企业版产品纳入漏洞奖励计划中，并表示1月份跟2月份报告的最严重的漏洞也会得到奖励。两个被列为严重级别的漏洞是由希腊研究员Ioannis Kakavas识别出来的。他在GitHub企业版的SAML视线中发现了多个缺陷，并因此获取对SAML开展全面评估的研究权限。目前，Kakavas是GitHub漏洞奖励项目中第二最佳黑客，已获得2.7万美元的奖励。他最近发布了一篇文章，里面包含技术详情和PoC利用代码。

另外一个严重漏洞是由德国漏洞猎手Markus Fenske发现的。他在管理面板中发现一个能够被用于在GitHub企业版工具中执行任意命令的弱点。Fenske获得的奖金数额是1.8万美元，其中包括一个1万美元的奖励（GitHub提供的最大数量的奖励）和8000美元的奖金。

研究员Orange Tsai去年设法黑进Facebook的一个服务器，因其负责任地披露了一个跟GitHub企业版pre-receive钩子相关的高危SQL注入漏洞而获得5000美元的奖励。

GitHub表示尚未有证据表明Fenske和Kakavas发现的漏洞被利用。

本文转自d1net（转载）