В четвъртък (В България петък през нощта) GitLab обяви нов кръг от критични актуализации на сигурността, които адресират осем уязвимости в изданията Community Edition (CE) и Enterprise Edition (EE), включително два пробива в изпълнението на конвейера.
Най-сериозният от бъговете е CVE-2024-9164 (CVSS оценка 9,6) – критичен дефект в GitLab EE, който може да позволи на нападател да изпълнява конвейери в произволни клонове.
Вторият проблем, проследен като CVE-2024-8970 (CVSS оценка 8,2), засяга инсталациите на GitLab CE/EE и при определени обстоятелства може да позволи на атакуващия да стартира тръбопроводи като друг потребител.
Уязвимостта с критична сериозност засяга версиите на GitLab EE от 12.5 до 17.2.8, от 17.3 до 17.3.4 и от 17.4 до 17.4.1, докато грешката с висока сериозност засяга версиите на GitLab CE/EE от 11.6 до 17.2.8, от 17.3 до 17.3.4 и от 17.4 до 17.4.1.
В четвъртък GitLab също така отстрани високосериозен недостатък, свързан с подправяне на заявки от страна на сървъра (SSRF), в екземпляри на GitLab EE с конфигурирано и разрешено табло за анализ на продукти (Product Analytics Dashboard), както и бъг, свързан с кръстосано скриптиране на сайтове (XSS) в GitLab, при който ново приложение „може да бъде накарано да се визуализира като HTML при определени обстоятелства“ при оторизирането му.
Друг дефект в сигурността с висока степен на опасност, засягащ инстанциите на GitLab CE/EE, би довел до проблеми при преглеждането на разликите на заявки за сливане с конфликти.
GitLab също така е разрешил две уязвимости със средна степен на опасност, които биха могли да позволят на ключове за внедряване да се изтласкват към архивирано хранилище и на гост потребители да разкриват шаблони на проекти, използвайки API, както и грешка с ниска степен на опасност, която би могла да позволи на неавтентифициран нападател да определи номера на версията на инстанция на GitLab.
Повечето от тези уязвимости бяха докладвани чрез програмата за награди за грешки HackerOne на GitLab. Версиите на GitLab CE/EE 17.4.2, 17.3.5 и 17.2.9 съдържат кръпки за тях.
GitLab не споменава, че някой от тези дефекти в сигурността се използва, но на потребителите се препоръчва да актуализират своите самоуправлявани инсталации на GitLab до най-новите версии възможно най-скоро.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.
