Новости GitLab под ударом: 14 дыр в безопасности ждут своего звёздного часа

NewsMaker

I'm just a script
Премиум
13,858
20
8 Ноя 2022
Компания рекомендует срочно обновиться для защиты от потенциальных атак.


btu3wuxpofumojshx8bojicuixq0sm9b.jpg


GitLab Для просмотра ссылки Войди или Зарегистрируйся для устранения 14 уязвимостей, включая одну критическую, которая может позволить злоумышленникам запускать CI/CD пайплайны от имени любого пользователя. Выявленные недостатки затрагивают GitLab Community Edition (CE) и Enterprise Edition (EE).

Наиболее серьёзная из найденных уязвимостей — Для просмотра ссылки Войди или Зарегистрируйся с оценкой 9.6 по CVSS . Она позволяет злоумышленнику запускать пайплайн от имени другого пользователя при определённых условиях. Эта уязвимость влияет на следующие версии GitLab CE и EE:

  • с версии 17.1 до 17.1.1;
  • с версии 17.0 до версии 17.0.3;
  • с версии 15.8 до версии 16.11.5.
GitLab сообщил, что обновление включает два существенных изменения: аутентификация с использованием CI_JOB_TOKEN по умолчанию отключена, а пайплайны больше не запускаются автоматически при изменении целевой ветки в запросе на слияние после слияния предыдущей целевой ветки.

Среди других важных уязвимостей, исправленных в последнем обновлении:

  • Для просмотра ссылки Войди или Зарегистрируйся (оценка 8.7 по CVSS) — уязвимость XSS, которая может быть импортирована из проекта с вредоносными примечаниями к коммитам.
  • Для просмотра ссылки Войди или Зарегистрируйся (оценка 8.1 по CVSS) — атака CSRF на GraphQL API GitLab, позволяющая выполнить произвольные мутации GraphQL.
  • Для просмотра ссылки Войди или Зарегистрируйся (оценка 7.5 по CVSS) — ошибка авторизации в глобальном поиске, делающая возможной утечку конфиденциальной информации из частного репозитория в рамках публичного проекта.
  • Для просмотра ссылки Войди или Зарегистрируйся (оценка 6.8 по CVSS) — уязвимость межоконной подделки, позволяющая злоумышленнику злоупотребить OAuth-аутентификацией через специально сформированный запрос.
Хотя пока нет данных об активной эксплуатации этих уязвимостей, пользователям GitLab CE/EE рекомендуется как можно скорее установить последние обновления для защиты от любых потенциальных угроз.
 
Источник новости
www.securitylab.ru

Похожие темы