✔GitLab патчит критическую уязвимость, связанную с пайплайном - «Новости»

15 сентября 2024 36 Вёрстка / Добавления стилей / Изображения / Преимущества стилей / Заработок / Отступы и поля / Новости 0

В общей сложности в версиях 17.3.2, 17.2.5 и 17.1.7 GitLab Community Edition (CE) и Enterprise Edition (EE) было исправлено 18 проблем.

Упомянутая выше уязвимость CVE-2024-6678 получила оценку 9,9 балла из 10 возможных по шкале CVSS. Критичность проблемы обусловлена возможностью ее удаленной эксплуатации, отсутствием необходимости взаимодействия с пользователем, а также низким уровнем привилегий, которые нужны для использования бага.

В GitLab предупреждают, что проблема затрагивает версии CE/EE с 8.14 до 17.1.7, версии с 17.2 до 17.2.5 и версии с 17.3 до 17.3.2, и рекомендуют установить обновления как можно скорее.

Пайплайны GitLab являются частью Continuous Integration/Continuous Deployment (CI/CD) системы, которая позволяет пользователям автоматически запускать процессы и задачи параллельно или последовательно для сборки, тестирования или деплоя изменений в коде. Они были созданы для оптимизации процесса разработки за счет автоматизации повторяющихся задач и обеспечения последовательного тестирования и развертывания изменений в кодовой базе.

Стоит отметить, что за последние месяцы GitLab уже не первый раз устраняет связанные с пайплайнами баги. Так, в июле 2024 года была устранена критическая проблема CVE-2024-6385, а в июне — CVE-2024-5655.

Также в этом месяце разработчики GitLab выпустили патчи и для других уязвимостей. Четыре из этих проблем, получившие от 6,7 до 8,5 баллов по шкале CVSS, перечислены ниже. Они потенциально позволяют злоумышленнику нарушить работу сервисов, выполнить несанкционированные команды и скомпрометировать важные ресурсы.

CVE-2024-8640: из-за неправильной фильтрации input'а злоумышленник может выполнять инъекции команд, затрагивающие подключенный сервер Cube через конфигурацию YAML, что потенциально может нарушить целостность данных. Уязвимость затрагивает GitLab EE, начиная с версии 16.11.

CVE-2024-8635: злоумышленник может эксплуатировать SSRF-уязвимость, создав кастомный URL-адрес Maven Dependency Proxy для выполнения запросов к внутренним ресурсам, что может привести к нарушению и компрометации внутренней инфраструктуры. Уязвимость затрагивает GitLab EE, начиная с версии 16.8.

CVE-2024-8124: атакующий может спровоцировать DoS через отправку большого параметра glm_source, в итоге перегрузив систему и добившись ее недоступности. Проблема затрагивает GitLab CE/EE, начиная с версии 16.4.

CVE-2024-8641: злоумышленник может эксплуатировать CI_JOB_TOKEN для получения доступа к токену сессии GitLab жертвы, что в итоге приведет к перехвату сессии. Баг представляет угрозу для GitLab CE/EE, начиная с версии 13.7.

Разработчики GitLab выпустили патчи для устранения нескольких уязвимостей, наиболее серьезная из которых (CVE-2024-6678) при определенных условиях позволяет злоумышленнику запускать пайплайны от имени любого пользователя. В общей сложности в версиях 17.3.2, 17.2.5 и 17.1.7 GitLab Community Edition (CE) и Enterprise Edition (EE) было исправлено 18 проблем. Упомянутая выше уязвимость CVE-2024-6678 получила оценку 9,9 балла из 10 возможных по шкале CVSS. Критичность проблемы обусловлена возможностью ее удаленной эксплуатации, отсутствием необходимости взаимодействия с пользователем, а также низким уровнем привилегий, которые нужны для использования бага. В GitLab предупреждают, что проблема затрагивает версии CE/EE с 8.14 до 17.1.7, версии с 17.2 до 17.2.5 и версии с 17.3 до 17.3.2, и рекомендуют установить обновления как можно скорее. Пайплайны GitLab являются частью Continuous Integration/Continuous Deployment (CI/CD) системы, которая позволяет пользователям автоматически запускать процессы и задачи параллельно или последовательно для сборки, тестирования или деплоя изменений в коде. Они были созданы для оптимизации процесса разработки за счет автоматизации повторяющихся задач и обеспечения последовательного тестирования и развертывания изменений в кодовой базе. Стоит отметить, что за последние месяцы GitLab уже не первый раз устраняет связанные с пайплайнами баги. Так, в июле 2024 года была устранена критическая проблема CVE-2024-6385, а в июне — CVE-2024-5655. Также в этом месяце разработчики GitLab выпустили патчи и для других уязвимостей. Четыре из этих проблем, получившие от 6,7 до 8,5 баллов по шкале CVSS, перечислены ниже. Они потенциально позволяют злоумышленнику нарушить работу сервисов, выполнить несанкционированные команды и скомпрометировать важные ресурсы. CVE-2024-8640: из-за неправильной фильтрации input'а злоумышленник может выполнять инъекции команд, затрагивающие подключенный сервер Cube через конфигурацию YAML, что потенциально может нарушить целостность данных. Уязвимость затрагивает GitLab EE, начиная с версии 16.11. CVE-2024-8635: злоумышленник может эксплуатировать SSRF-уязвимость, создав кастомный URL-адрес Maven Dependency Proxy для выполнения запросов к внутренним ресурсам, что может привести к нарушению и компрометации внутренней инфраструктуры. Уязвимость затрагивает GitLab EE, начиная с версии 16.8. CVE-2024-8124: атакующий может спровоцировать DoS через отправку большого параметра glm_source, в итоге перегрузив систему и добившись ее недоступности. Проблема затрагивает GitLab CE/EE, начиная с версии 16.4. CVE-2024-8641: злоумышленник может эксплуатировать CI_JOB_TOKEN для получения доступа к токену сессии GitLab жертвы, что в итоге приведет к перехвату сессии. Баг представляет угрозу для GitLab CE/EE, начиная с версии 13.7.

запостил(а)

Higgins

Вернуться назад

Смотрите также

GitLab выпустила экстренный патч для критической уязвимости - «Новости»

GitLab устраняет баг, связанный с запуском конвейеров от имени других пользователей - «Новости»

Критический баг в GitLab позволяет захватывать чужие аккаунты - «Новости»

Хакеры эксплуатируют критическую RCE-уязвимость в GitLab - «Новости»

А что там на главной? )))

Комментарии )))

Комментарии для сайта Cackle

« Сентябрь 2024 »
Пн	Вт	Ср	Чт	Пт	Сб	Вс
						1
2	3	4	5	6	7	8
9	10	11	12	13	14	15
16	17	18	19	20	21	22
23	24	25	26	27	28	29
30