我要评论6 月 22 日消息,jetbrains 官方博客 6 月 19 日公告,一个新发现的安全问题会影响 intellij 平台上的 jetbrains github 插件,可能导致访问令牌被泄露给第三方网站。2023.1+ 版所有已启用并配置 / 正在使用 jetbrains github 插件的基于 intellij 的 ide 都会受此问题影响。
问题现已解决,2023.1+ 版所有基于 intellij 平台的 ide 均已获得修正。代码网附可用的修正版本如下:
aqua:2024.1.2
clion:2023.1.7、2023.2.4、2023.3.5、2024.1.3、2024.2 eap2
datagrip:2024.1.4
dataspell:2023.1.6、2023.2.7、2023.3.6、2024.1.2
goland:2023.1.6、2023.2.7、2023.3.7、2024.1.3、2024.2 eap3
intellij idea:2023.1.7、2023.2.7、2023.3.7、2024.1.3、2024.2 eap3
mps:2023.2.1、2023.3.1、2024.1 eap2
phpstorm:2023.1.6、2023.2.6、2023.3.7、2024.1.3、2024.2 eap3
pycharm:2023.1.6、2023.2.7、2023.3.6、2024.1.3、2024.2 eap2
rider:2023.1.7、2023.2.5、2023.3.6、2024.1.3
rubymine:2023.1.7、2023.2.7、2023.3.7、2024.1.3、2024.2 eap4
rustrover:2024.1.1
webstorm:2023.1.6、2023.2.7、2023.3.7、2024.1.4
jetbrains github 插件也已更新并获得修正,之前受影响的版本已从 jetbrains marketplace 移除。jetbrains 官方强烈建议用户将 ide 更新到最新版本。
此外,如果用户在 ide 中经常使用 github 拉取请求功能,官方强烈建议撤销插件正在使用的 github 令牌。由于插件可能使用 oauth 集成或个人访问令牌(pat),需要检查两者并根据需要撤销:
oauth 集成设置:转到 applications → authorized oauth apps(应用程序 → 授权的 oauth 应用)并撤销 jetbrains ide integration(jetbrains ide 集成)应用程序的访问权限。
个人访问令牌设置:转到 tokens(令牌)页面并删除为插件发放的令牌。默认令牌名称为 intellij idea github integration plugin,用户也可以使用自定义名称。
令牌被撤销后,用户需要重新设置插件,因为所有插件功能(包括 git 操作)都将停止工作。
发表评论