- 13,850
- 20
- 8 Ноя 2022
Запуск пайплайнов теперь сопряжён с неожиданными рисками.
GitLab выпустила обновления безопасности для версий Community Edition (CE) и Enterprise Edition (EE), закрывающие восемь уязвимостей, включая критическую ошибку, которая может позволить запускать пайплайны CI/CD на произвольных ветках.
Одна из уязвимостей, зарегистрированная как Для просмотра ссылки Войдиили Зарегистрируйся получила рейтинг, близкий к наивысшему — 9.6 из 10 по шкале CVSS . В Для просмотра ссылки Войди или Зарегистрируйся GitLab сообщается, что уязвимость затрагивает версии EE, начиная с 12.5 до 17.2.9, с 17.3 до 17.3.5 и с 17.4 до 17.4.2. Ошибка позволяет запускать пайплайны на неавторизованных ветках репозиториев.
Список из семи оставшихся уязвимостей включает четыре проблемы с высоким уровнем опасности, две со средним и одну с низким. Рассмотрим подробнее уязвимости с наивысшим рейтингом:
или Зарегистрируйся ), разрешают гостям раскрывать шаблоны проектов через API ( Для просмотра ссылки Войди или Зарегистрируйся ), а также дают возможность неавторизованным пользователям определять версию GitLab ( Для просмотра ссылки Войди или Зарегистрируйся ).
Эти обновления продолжают серию исправлений уязвимостей, связанных с пайплайнами, которые GitLab раскрывает в последние месяцы. Так, в сентябре компания устранила ещё одну критическую уязвимость ( Для просмотра ссылки Войдиили Зарегистрируйся оценка CVSS: 9.9), которая позволяла запускать задания пайплайнов от имени произвольного пользователя.
Ранее были исправлены три похожие уязвимости — Для просмотра ссылки Войдиили Зарегистрируйся Для просмотра ссылки Войди или Зарегистрируйся и Для просмотра ссылки Войди или Зарегистрируйся — каждая с оценкой 9.6 по шкале CVSS.
На данный момент информации об активной эксплуатации недавно исправленных уязвимостей нет, однако пользователям настоятельно рекомендуется обновить свои версии GitLab для защиты от возможных угроз.
GitLab выпустила обновления безопасности для версий Community Edition (CE) и Enterprise Edition (EE), закрывающие восемь уязвимостей, включая критическую ошибку, которая может позволить запускать пайплайны CI/CD на произвольных ветках.
Одна из уязвимостей, зарегистрированная как Для просмотра ссылки Войди
Список из семи оставшихся уязвимостей включает четыре проблемы с высоким уровнем опасности, две со средним и одну с низким. Рассмотрим подробнее уязвимости с наивысшим рейтингом:
- Для просмотра ссылки Войди
или Зарегистрируйся (оценка CVSS: 8.2) — позволяет атакующему запускать пайплайны от имени другого пользователя в определённых условиях. - Для просмотра ссылки Войди
или Зарегистрируйся (оценка CVSS: 8.2) — допускает проведение SSRF-атак в случаях, когда включен Product Analytics Dashboard. - Для просмотра ссылки Войди
или Зарегистрируйся (оценка CVSS: 7.5) — вызывает замедление при просмотре конфликтов в merge-запросах. - Для просмотра ссылки Войди
или Зарегистрируйся (оценка CVSS: 7.3) — HTML-инъекция на OAuth-странице авторизации нового приложения из-за уязвимости межсайтового скриптинга.
Эти обновления продолжают серию исправлений уязвимостей, связанных с пайплайнами, которые GitLab раскрывает в последние месяцы. Так, в сентябре компания устранила ещё одну критическую уязвимость ( Для просмотра ссылки Войди
Ранее были исправлены три похожие уязвимости — Для просмотра ссылки Войди
На данный момент информации об активной эксплуатации недавно исправленных уязвимостей нет, однако пользователям настоятельно рекомендуется обновить свои версии GitLab для защиты от возможных угроз.
- Источник новости
- www.securitylab.ru
