Kritikus GitLab sérülékenység

kami911 képe
Beküldte kami911 -

2022. augusztus 22-én a Gitlab mögött álló GitLab Inc. megjelentette a GitLab Community Edition (CE) és Enterprise Edition (EE) 15.3.1, 15.2.3 és 15.1.5 verzióit. A széles körben használt DevOps platform, a GitLab kritikus biztonsági frissítéseket adott ki a Community Edition (CE) és az Enterprise Edition (EE) verziójához.

A sebezhetőséget a GitLab CE/EE több verziójához is jelentették:

  • A 11.3.4 és 15.1.5 közötti összes verzió,
  • a 15.2.2.3 és 15.2.2 közötti összes verzió,
  • a 15.3.1 és 15.3.3 közötti összes verzió.

A probléma

Az érintett verziók lehetővé teszik egy hitelesített felhasználó számára, hogy a GitHub API végpontról történő importálás kihasználásával tetszőleges parancsokat adjon át távolról. A távoli parancsvégrehajtás (RCE) sebezhetőség CVE-2022-2884 néven került rögzítésre, és extrém magas, 9,9-es besorolású. Az RCE sebezhetőségek olyan kritikus hibák, amelyek lehetővé teszik a hackerek számára, hogy rosszindulatú utasításokat hajthassanak végre a célzott rendszerekbe való betöréshez. Amikor egy ilyen sebezhetőségek nyilvánosságra kerülnek, a kiberbűnözők általában aktívan kihasználják őket, ezért a javításokat gyorsan kell telepíteni.

A hiba frissítés nélküli kiküszöbölése

Azok számára, akik nem tudnak azonnal frissíteni, az egyetlen megoldás a GitHub importforrás letiltása.

Jelentkezzen be rendszergazdai fiókkal a GitLab telepítésébe, és hajtsa végre a következőket:

  1. Kattintson a "Menu" → "Admin" menüpontra.
  2. Kattintson a "Settings" → "General" menüpontra.
  3. Bontsa ki a "Visibility and access controls" lapot.
  4. A "Import sources" alatt tiltsa le a "GitHub" opciót.
  5. Kattintson a "Save changes" gombra.

A megoldás ellenőrzése

Egy böngészőablakban jelentkezzen be tetszőleges felhasználóként.

  1. Kattintson a "+" gombra a felső sávban.
  2. Kattintson az "New project/repository" gombra.
  3. Kattintson a "Import project" gombra.
  4. Bizonyosodjon meg róla, hogy a "GitHub" már nem elérhető az importálási lehetőségként.

A GitLabról

A GitLab egy rendkívül népszerű nyílt platform, 30 millió regisztrált felhasználóval. Lehetővé teszi a fejlesztőcsapatok számára a Git-tárházak távoli hostolását és kezelését. DevOps funkciókat is biztosít, mint például CI/CD pipelines az automatizált telepítéshez (GitLab Runner).

Összefoglaló

Ezek a verziók tehát fontos biztonsági javításokat tartalmaznak, és nagyon ajánlott, hogy minden Community Edition (CE) és Enterprise Edition (EE) telepítést azonnal frissítsenek a 15.3.1, a 15.2.3 vagy a 15.1.5 verziók valamelyikére, vagy tiltsák le a GitHub import lehetőséget. A GitLab.com-on már a javított verzió fut.