Kritikus GitLab sérülékenység, ami lehetővé teszi a fájlok felülírását

kami911 képe
Beküldte kami911 -

A Gitlab mögött álló GitLab Inc. megjelentette a GitLab Community Edition (CE) és Enterprise Edition (EE) 16.5.8, 16.6.6, 16.7.4 és 16.8.1 verzióit. A széles körben használt DevOps platform, a GitLab kritikus biztonsági frissítéseket adott ki a Community Edition (CE) és az Enterprise Edition (EE) verziójához.

A GitLab CE/EE-ben olyan hibát fedeztek fel, amely a 16.0 és a 16.5.8 előtti, a 16.6 és a 16.6.6 előtti, a 16.7 és a 16.7.4 előtti, valamint a 16.8 és a 16.8.1 előtti verziókat érinti, és amely lehetővé teszi egy hitelesített felhasználó számára, hogy munkaterület létrehozása közben fájlokat írjon tetszőleges helyre a GitLab szerveren. A CVE-2024-0402 néven nyomon követett sebezhetőség CVSS pontszáma 9,9 a maximális 10-ből.

A hiba javításait a 16.5.8, 16.6.6, 16.7.4 és 16.8.1 verzióra is alkalmazták.

A GitLab négy közepes súlyosságú hibát is orvosolt, amelyek regular expression denial-of-service (ReDoS), HTML injekcióhoz és a felhasználó nyilvános e-mail címének felfedéséhez vezethetnek az RSS feed tag-eken keresztül.

A legújabb frissítés két héttel azután érkezett, hogy a platform két kritikus hiányosságot javított, köztük egy olyan hibát, amely felhasználói beavatkozás nélkül fiókok átvételére használható ki (CVE-2023-7028, CVSS pontszám: 10.0).

A lehetséges kockázatok csökkentése érdekében felhasználóknak javasolt a lehető leghamarabb frissíteni a javított verziókra. A GitLab.com és a GitLab Dedicated környezetekben már a legújabb verzió fut.

A GitLabról

A GitLab egy rendkívül népszerű nyílt platform, 30 millió regisztrált felhasználóval. Lehetővé teszi a fejlesztőcsapatok számára a Git-tárházak távoli hostolását és kezelését. DevOps funkciókat is biztosít, mint például CI/CD pipelines az automatizált telepítéshez (GitLab Runner).

Összefoglaló

Ezek a verziók tehát fontos biztonsági javításokat tartalmaznak, és nagyon ajánlott, hogy minden Community Edition (CE) és Enterprise Edition (EE) telepítést azonnal frissítsenek a 16.5.8, a 16.6.6, a 16.7.4 vagy a 16.8.1 verziók valamelyikére, vagy tiltsák le a GitHub import lehetőséget. A GitLab.com-on már a javított verzió fut.

(forrás)