GitLab ir izlaidusi drošības atjauninājumus gan kopienas, gan uzņēmuma izdevumiem, lai novērstu divas kritiskas ievainojamības, no kurām viena ļauj uzlauzt kontu bez lietotāja iejaukšanās.
Pārdevējs stingri iesaka pēc iespējas ātrāk atjaunināt visas DevSecOps sistēmas neaizsargātās versijas (pašmitinātām instalācijām ir nepieciešams manuāls atjauninājums) un brīdina, ka, ja nav “norādīta izvietošanas veida (visaptverošs, pirmkods, stūres diagramma utt.). ) norādītā produkta Tas nozīmē, ka tiek ietekmētas visas sugas.
Sīkāka informācija par ievainojamību
Nozīmīgākajai GitLab labotajai drošības problēmai ir maksimālais nopietnības rādītājs (10 no 10), un tā tiek izsekota kā CVE-2023-7028. Veiksmīgai izmantošanai nav nepieciešama nekāda mijiedarbība.
Tā ir autentifikācijas problēma, kas ļauj nosūtīt paroles atiestatīšanas pieprasījumus uz nejaušām, nepārbaudītām e-pasta adresēm, ļaujot pārņemt kontu. Ja ir aktīva divu faktoru autentifikācija (2FA), ir iespējams atiestatīt paroli, taču, lai veiksmīgi pieteiktos, joprojām ir nepieciešams otrs autentifikācijas faktors.
GitLab konta uzlaušana var būtiski ietekmēt organizāciju, jo platforma parasti tiek izmantota privātā koda, API atslēgu un citu sensitīvu datu mitināšanai.
Vēl viens risks ir piegādes ķēdes uzbrukumi, kad uzbrucēji var apdraudēt repozitorijus, ievadot ļaunprātīgu kodu dzīvā vidē, izmantojot GitLab CI/CD (nepārtraukta integrācija/nepārtraukta izvietošana).
Šo problēmu atklāja un GitLab ziņoja drošības pētnieks “Asterion”, izmantojot kļūdu novēršanas platformu HackerOne, un tā tika iesniegta 2023. gada 1. maijā ar versiju 16.1.0.
Tiek ietekmētas šādas versijas:
- 16.1 Pirms 16.1.5
- 16.2 Pirms 16.2.8
- 16.3 Pirms 16.3.6
- 16.4 Pirms 16.4.4
- 16.5 pirms 16.5.6
- 16.6 pirms 16.6.4
- 16.7 Pirms 16.7.2
Kļūda tika novērsta GitLab versijās 16.7.2, 16.5.6 un 16.6.4, un labojums ir pārnests arī uz versijām 16.1.6, 16.2.9 un 16.3.7.
GitLab saka, ka tas nav atklājis nevienu aktīvu CVE-2023-7028 izmantošanu, bet ir kopīgojis šādas kompromisa pazīmes ar aizstāvjiem:
Check gitlab-rails/production_json.log for HTTP requests to the /users/password path with params.value.email consisting of a JSON array with multiple email addresses.Check gitlab-rails/audit_json.log for entries with meta.caller.id of PasswordsController#create and target_details consisting of a JSON array with multiple email addresses.
Otra kritiskā problēma ir identificēta kā CVE-2023-5356, un tās smaguma pakāpe ir 9,6 no 10. Uzbrucējs var to izmantot, lai ļaunprātīgi izmantotu Slack/Mattermost integrācijas, lai izpildītu slīpsvītras komandas kā cits lietotājs.
Programmā Mattermost slīpsvītras komandas ļauj darbvietā integrēt ārējās lietotnes, un Slack tās darbojas kā saīsnes, lai izsauktu lietotnes ziņojumu rakstīšanas lodziņā.
Kas attiecas uz pārējiem trūkumiem, ko GitLab laboja versijā 16.7.2, tie ir:
- CVE-2023-4812: augsta riska ievainojamība GitLab 15.3 un jaunākās versijās, kas ļauj apiet CODEOWNERS apstiprinājumu, veicot izmaiņas iepriekš apstiprinātā sapludināšanas pieprasījumā.
- CVE-2023-6955: nepareiza piekļuves kontrole esošajām darbvietām GitLab pirms versijas 16.7.2, ļaujot uzbrucējiem izveidot darbvietu vienā klasterī, kas ir saistīta ar starpniekserveri no citas klastera.
- CVE-2023-2030: paraksta validācijas kļūda ietekmē GitLab CE/EE versijas 12.2 un jaunākas versijas, tostarp iespēju modificēt parakstīto saistību metadatus nepareizas paraksta validācijas dēļ.
Norādījumus un oficiālos atjaunināšanas resursus skatiet vietnē GitLab Atjaunināt lapu. Gitlab Runner Apmeklējiet šo tīmekļa lapu.
