Ένα κρισιμο σφάλμα επηρεάζει ορισμένες εκδόσεις των προϊόντων GitLab Community και Enterprise Edition, οι οποίες θα μπορούσαν να αξιοποιηθούν για την εκτέλεση pipelines όπως οποιοσδήποτε χρήστης.
Δείτε επίσης: GitLab: Ευπάθεια επιτρέπει την κλοπή λογαριασμών
Το GitLab είναι μια δημοφιλής πλατφόρμα διαχείρισης έργων και παρακολούθησης εργασιών λογισμικού ανοιχτού κώδικα που βασίζεται στον ιστό. Έχει περίπου ένα εκατομμύριο ενεργούς χρήστες.
Το σφάλμα που αντιμετωπίστηκε στην ενημέρωση, παρακολουθείται ως CVE-2024-5655 και έχει βαθμολογία σοβαρότητας 9,6 στα 10. Υπό ορισμένες συνθήκες, τις οποίες ο προμηθευτής δεν όρισε, ένας εισβολέας θα μπορούσε να το χρησιμοποιήσει για να ενεργοποιήσει ένα pipeline ως άλλος χρήστης.
Τα GitLab pipelines είναι ένα χαρακτηριστικό του συστήματος Συνεχούς Ενοποίησης/Συνεχούς Ανάπτυξης (CI/CD) που επιτρέπει στους χρήστες να εκτελούν αυτόματα διεργασίες και εργασίες, είτε παράλληλα είτε διαδοχικά, για να δημιουργήσουν, να δοκιμάσουν ή να αναπτύξουν αλλαγές κώδικα.
Η ευπάθεια επηρεάζει όλες τις εκδόσεις CE/EE του GitLab από 15.8 έως 16.11.4, 17.0.0 έως 17.0.2 και 17.1.0 έως 17.1.0.
Το GitLab έχει αντιμετωπίσει το σφάλμα κυκλοφορώντας τις εκδόσεις 17.1.1, 17.0.3 και 16.11.5 και συνιστά στους χρήστες να εφαρμόσουν τις ενημερώσεις το συντομότερο δυνατό.
Δείτε ακόμα: GitLab: 5.300 διακομιστές εκτίθενται σε επιθέσεις αποκάλυψης λογαριασμού
Ο προμηθευτής ενημερώνει επίσης ότι η αναβάθμιση στις πιο πρόσφατες εκδόσεις συνοδεύεται από δύο αλλαγές που πρέπει να γνωρίζουν οι χρήστες:
- Τα pipelines δεν θα εκτελούνται πλέον αυτόματα όταν ένα αίτημα συγχώνευσης στοχεύεται εκ νέου μετά τη συγχώνευση του προηγούμενου κλάδου στόχου του. Οι χρήστες πρέπει να ξεκινήσουν με μη αυτόματο τρόπο τη διοχέτευση για να εκτελέσουν το CI για τις αλλαγές τους.
- Το CI_JOB_TOKEN είναι πλέον απενεργοποιημένο από προεπιλογή για τον έλεγχο ταυτότητας GraphQL ξεκινώντας από την έκδοση 17.0.0, με αυτήν την αλλαγή να αναφέρεται στις εκδόσεις 17.0.3 και 16.11.5. Για να αποκτήσουν πρόσβαση στο GraphQL API, οι χρήστες πρέπει να διαμορφώσουν έναν από τους υποστηριζόμενους τύπους διακριτικών για έλεγχο ταυτότητας.
Η τελευταία ενημέρωση του GitLab εισάγει επίσης επιδιορθώσεις ασφαλείας για 13 άλλα σφάλματα, με τη σοβαρότητα τριών από αυτά να χαρακτηρίζεται ως “υψηλή” (βαθμολογία CVSS v3.1: 7,5 – 8,7). Αυτά τα τρία συνοψίζονται ως εξής:
- CVE-2024-4901: Αποθηκευμένη ευπάθεια XSS που επιτρέπει σε κακόβουλες σημειώσεις δέσμευσης από εισηγμένα έργα να εισάγουν σενάρια, οδηγώντας ενδεχομένως σε μη εξουσιοδοτημένες ενέργειες και έκθεση δεδομένων.
- CVE-2024-4994: Μια ευπάθεια CSRF στο GraphQL API που επιτρέπει στους εισβολείς να εκτελούν αυθαίρετες μεταλλάξεις GraphQL εξαπατώντας τους πιστοποιημένους χρήστες να κάνουν ανεπιθύμητα αιτήματα, οδηγώντας ενδεχομένως σε χειραγώγηση δεδομένων και μη εξουσιοδοτημένες λειτουργίες.
- CVE-2024-6323: Ελάττωμα εξουσιοδότησης στη λειτουργία παγκόσμιας αναζήτησης του GitLab που επιτρέπει στους εισβολείς να βλέπουν αποτελέσματα αναζήτησης από ιδιωτικά αποθετήρια εντός δημόσιων έργων, οδηγώντας ενδεχομένως σε διαρροές πληροφοριών και μη εξουσιοδοτημένη πρόσβαση σε ευαίσθητα δεδομένα.
Οι πόροι για ενημερώσεις του GitLab είναι διαθέσιμοι εδώ, ενώ οι οδηγίες του GitLab Runner βρίσκονται σε αυτήν τη σελίδα.
Δείτε επίσης: GitHub: Όλο και πιο συχνή η κατάχρησή του από κυβερνοεγκληματίες
Ένα κρίσιμο σφάλμα αναφέρεται σε ένα σημαντικό ελάττωμα σε ένα σύστημα λογισμικού που επηρεάζει σοβαρά τη λειτουργικότητα, την απόδοση ή την ασφάλειά του. Αυτός ο τύπος σφαλμάτων συχνά οδηγεί σε σφάλματα συστήματος, απώλεια δεδομένων ή πλήρη μη διαθεσιμότητα υπηρεσιών, γεγονός που το καθιστά κορυφαία προτεραιότητα για την αντιμετώπιση των προγραμματιστών. Τα κρίσιμα σφάλματα, όπως αυτό του GitLab, μπορεί να προέρχονται από διάφορες πηγές, συμπεριλαμβανομένων σφαλμάτων κώδικα, ζητημάτων ενοποίησης ή απρόβλεπτων αλληλεπιδράσεων μεταξύ διαφορετικών στοιχείων. Ο εντοπισμός και η γρήγορη επίλυση αυτών των σφαλμάτων είναι απαραίτητα για τη διατήρηση της ακεραιότητας και της αξιοπιστίας του λογισμικού, τη διασφάλιση της ικανοποίησης των χρηστών και την προστασία των πόρων του οργανισμού.
Πηγή: bleepingcomputer
