Kritikus Gitlab-sebezhetőség
A GitLab, a DevOps életciklus kezelésére széles körben használt platform, kritikus biztonsági frissítéseket adott ki a Community Edition (CE) és az Enterprise Edition (EE) verzióihoz. Ezek a frissítések több sebezhetőséget orvosolnak, köztük egy magas súlyosságú hibát, amely lehetővé teszi a támadók számára a jogosultságok kiterjesztését kompromittált tokenek révén. A vállalat nyomatékosan javasolja minden önállóan kezelt GitLab telepítés azonnali frissítését a legújabb verziókra: 17.6.1, 17.5.3 és 17.4.5. A GitLab.com már alkalmazta ezeket a javításokat, míg a GitLab Dedicated ügyfeleknek nincs szükségük további lépésekre.
Ez a kritikus sebezhetőség az összes 8.12 és a javított verziók (17.4.5, 17.5.3 és 17.6.1) előtti GitLab CE/EE verziót érinti. A hiba lehetővé teszi a támadók számára, hogy egy felhasználó személyes hozzáférési tokenjének (PAT) megszerzésével jogosultságokat terjesszenek ki. A sebezhetőség CVSS pontszáma 8,2, ami jelentős kockázatot jelez a bizalmasság és integritás szempontjából. A GitLab elismerését fejezte ki a “pwnie” nevű biztonsági kutatónak, aki felelősségteljesen jelentette a hibát a HackerOne hibavadász programon keresztül.
Egy közepes súlyosságú hiba, amely lehetővé tette a támadók számára, hogy speciálisan kialakított cargo.toml fájlokkal túlterheljék a rendszert, szolgáltatásmegtagadást okozva. Az érintett verziók: minden 17.4.5, 17.5.3 és 17.6.1 előtti verzió.
Ez a közepes súlyosságú hiba lehetővé tette bizonyos API végpontok számára, hogy jogosulatlan hozzáférést biztosítsanak érzékeny adatokhoz a túl széles körű token jogosultságok miatt. Az érintett verziók: 16.9.8-tól 17.4.5-ig, 17.5.0-tól 17.5.3-ig, és 17.6.0.
Egy közepes súlyosságú hiba, amely lehetővé tette a támadók számára, hogy egy rosszindulatú Harbor registry integrációval szolgáltatásmegtagadást idézzenek elő. Az érintett verziók: 15.6-tól 17.4.5-ig, 17.5.0-tól 17.5.3-ig, és 17.6.0.
Minden GitLab telepítésnek, amelyet a fent említett hibák érintenek, javasolt azonnal frissíteni a legújabb verzióra a biztonság és a stabilitás érdekében. A GitLab.com már a javított verziót futtatja, és a GitLab Dedicated ügyfeleknek nincs szükségük további lépésekre.