GitLab патчит критическую уязвимость, связанную с пайплайном - «Новости» » Интернет технологии
sitename
Китайцы построили самую мощную в мире центрифугу, чтобы «сжимать» время и пространство - «Новости сети»
Китайцы построили самую мощную в мире центрифугу, чтобы «сжимать» время и пространство - «Новости сети»
Asus представила геймерские смартфоны ROG Phone 9 и 9 Pro — Snapdragon 8 Elite, разъём для наушников и цена от $1000 - «Новости сети»
Asus представила геймерские смартфоны ROG Phone 9 и 9 Pro — Snapdragon 8 Elite, разъём для наушников и цена от $1000 - «Новости сети»
Microsoft представила Windows 365 Link — компьютер, на который нельзя установить ни одной программы - «Новости сети»
Microsoft представила Windows 365 Link — компьютер, на который нельзя установить ни одной программы - «Новости сети»
Вредоносные коммиты с бэкдорами обнаружили на GitHub - «Новости»
Вредоносные коммиты с бэкдорами обнаружили на GitHub - «Новости»
Критический баг в плагине для WordPress угрожает 4 млн сайтов - «Новости»
Критический баг в плагине для WordPress угрожает 4 млн сайтов - «Новости»
Данные всех россиян уже утекли в даркнет, заявил глава «Ростелекома» - «Новости сети»
Данные всех россиян уже утекли в даркнет, заявил глава «Ростелекома» - «Новости сети»
Самым популярным паролем в 2024 году остается «123456» - «Новости»
Самым популярным паролем в 2024 году остается «123456» - «Новости»
Ботнет эксплуатирует 0-day уязвимость в устройствах GeoVision - «Новости»
Ботнет эксплуатирует 0-day уязвимость в устройствах GeoVision - «Новости»
Компанию T-Mobile взломали во время недавней атаки на телекомы - «Новости»
Компанию T-Mobile взломали во время недавней атаки на телекомы - «Новости»
«Что-то мне как-то не по себе»: игроков насторожил 4K-геймплей S.T.A.L.K.E.R. 2: Heart of Chornobyl от Nvidia - «Новости сети»
«Что-то мне как-то не по себе»: игроков насторожил 4K-геймплей S.T.A.L.K.E.R. 2: Heart of Chornobyl от Nvidia - «Новости сети»
Как заработать денег, не выходя из дома, мы вам поможем с этим разобраться » Самоучитель CSS » Вёрстка » GitLab патчит критическую уязвимость, связанную с пайплайном - «Новости»

Разработчики GitLab выпустили патчи для устранения нескольких уязвимостей, наиболее серьезная из которых (CVE-2024-6678) при определенных условиях позволяет злоумышленнику запускать пайплайны от имени любого пользователя.


В общей сложности в версиях 17.3.2, 17.2.5 и 17.1.7 GitLab Community Edition (CE) и Enterprise Edition (EE) было исправлено 18 проблем.


Упомянутая выше уязвимость CVE-2024-6678 получила оценку 9,9 балла из 10 возможных по шкале CVSS.  Критичность проблемы обусловлена возможностью ее удаленной эксплуатации, отсутствием необходимости взаимодействия с пользователем, а также низким уровнем привилегий, которые нужны для использования бага.


В GitLab предупреждают, что проблема затрагивает версии CE/EE с 8.14 до 17.1.7, версии с 17.2 до 17.2.5 и версии с 17.3 до 17.3.2, и рекомендуют установить обновления как можно скорее.


Пайплайны GitLab являются частью Continuous Integration/Continuous Deployment (CI/CD) системы, которая позволяет пользователям автоматически запускать процессы и задачи параллельно или последовательно для сборки, тестирования или деплоя изменений в коде. Они были созданы для оптимизации процесса разработки за счет автоматизации повторяющихся задач и обеспечения последовательного тестирования и развертывания изменений в кодовой базе.


Стоит отметить, что за последние месяцы GitLab уже не первый раз устраняет связанные с пайплайнами баги. Так, в июле 2024 года была устранена критическая проблема CVE-2024-6385, а в июне — CVE-2024-5655.


Также в этом месяце разработчики GitLab выпустили патчи и для других уязвимостей. Четыре из этих проблем, получившие от 6,7 до 8,5 баллов по шкале CVSS, перечислены ниже. Они потенциально позволяют злоумышленнику нарушить работу сервисов, выполнить несанкционированные команды и скомпрометировать важные ресурсы.



  • CVE-2024-8640: из-за неправильной фильтрации input'а злоумышленник может выполнять инъекции команд, затрагивающие подключенный сервер Cube через конфигурацию YAML, что потенциально может нарушить целостность данных. Уязвимость затрагивает GitLab EE, начиная с версии 16.11.

  • CVE-2024-8635: злоумышленник может эксплуатировать SSRF-уязвимость, создав кастомный URL-адрес Maven Dependency Proxy для выполнения запросов к внутренним ресурсам, что может привести к нарушению и компрометации внутренней инфраструктуры. Уязвимость затрагивает GitLab EE, начиная с версии 16.8.

  • CVE-2024-8124: атакующий может спровоцировать DoS через отправку большого параметра glm_source, в итоге перегрузив систему и добившись ее недоступности. Проблема затрагивает GitLab CE/EE, начиная с версии 16.4.

  • CVE-2024-8641: злоумышленник может эксплуатировать CI_JOB_TOKEN для получения доступа к токену сессии GitLab жертвы, что в итоге приведет к перехвату сессии. Баг представляет угрозу для GitLab CE/EE, начиная с версии 13.7.


Разработчики GitLab выпустили патчи для устранения нескольких уязвимостей, наиболее серьезная из которых (CVE-2024-6678) при определенных условиях позволяет злоумышленнику запускать пайплайны от имени любого пользователя. В общей сложности в версиях 17.3.2, 17.2.5 и 17.1.7 GitLab Community Edition (CE) и Enterprise Edition (EE) было исправлено 18 проблем. Упомянутая выше уязвимость CVE-2024-6678 получила оценку 9,9 балла из 10 возможных по шкале CVSS. Критичность проблемы обусловлена возможностью ее удаленной эксплуатации, отсутствием необходимости взаимодействия с пользователем, а также низким уровнем привилегий, которые нужны для использования бага. В GitLab предупреждают, что проблема затрагивает версии CE/EE с 8.14 до 17.1.7, версии с 17.2 до 17.2.5 и версии с 17.3 до 17.3.2, и рекомендуют установить обновления как можно скорее. Пайплайны GitLab являются частью Continuous Integration/Continuous Deployment (CI/CD) системы, которая позволяет пользователям автоматически запускать процессы и задачи параллельно или последовательно для сборки, тестирования или деплоя изменений в коде. Они были созданы для оптимизации процесса разработки за счет автоматизации повторяющихся задач и обеспечения последовательного тестирования и развертывания изменений в кодовой базе. Стоит отметить, что за последние месяцы GitLab уже не первый раз устраняет связанные с пайплайнами баги. Так, в июле 2024 года была устранена критическая проблема CVE-2024-6385, а в июне — CVE-2024-5655. Также в этом месяце разработчики GitLab выпустили патчи и для других уязвимостей. Четыре из этих проблем, получившие от 6,7 до 8,5 баллов по шкале CVSS, перечислены ниже. Они потенциально позволяют злоумышленнику нарушить работу сервисов, выполнить несанкционированные команды и скомпрометировать важные ресурсы. CVE-2024-8640: из-за неправильной фильтрации input'а злоумышленник может выполнять инъекции команд, затрагивающие подключенный сервер Cube через конфигурацию YAML, что потенциально может нарушить целостность данных. Уязвимость затрагивает GitLab EE, начиная с версии 16.11. CVE-2024-8635: злоумышленник может эксплуатировать SSRF-уязвимость, создав кастомный URL-адрес Maven Dependency Proxy для выполнения запросов к внутренним ресурсам, что может привести к нарушению и компрометации внутренней инфраструктуры. Уязвимость затрагивает GitLab EE, начиная с версии 16.8. CVE-2024-8124: атакующий может спровоцировать DoS через отправку большого параметра glm_source, в итоге перегрузив систему и добившись ее недоступности. Проблема затрагивает GitLab CE/EE, начиная с версии 16.4. CVE-2024-8641: злоумышленник может эксплуатировать CI_JOB_TOKEN для получения доступа к токену сессии GitLab жертвы, что в итоге приведет к перехвату сессии. Баг представляет угрозу для GitLab CE/EE, начиная с версии 13.7.
CSS
запостил(а)
Higgins
Вернуться назад

Смотрите также


А что там на главной? )))



Комментарии )))



Войти через: