Νέα κρίσιμη ευπάθεια GitLab επιτρέπει αυθαίρετη εκτέλεση αγωγών CI/CD

Το GitLab κυκλοφόρησε ενημερώσεις ασφαλείας για τα Community Edition (CE) και Enterprise Edition (EE), για την αντιμετώπιση οκτώ ελαττωμάτων ασφαλείας, συμπεριλαμβανομένου ενός κρίσιμου σφάλματος που θα μπορούσε να επιτρέψει την εκτέλεση αγωγών Continuous Integration and Continuous Delivery (CI/CD) σε αυθαίρετες διακλαδώσεις.

Δείτε επίσης: Το GitLab κυκλοφορεί επιδιόρθωση για κρίσιμο σφάλμα στο SAML

Γνωστή ως CVE-2024-9164, η ευπάθεια φέρει βαθμολογία CVSS 9,6 στα 10.

“Ανακαλύφθηκε ένα πρόβλημα στο GitLab EE που επηρεάζει όλες τις εκδόσεις από την 12.5 πριν από την 17.2.9, την 17.3 πριν από την 17.3.5 και την 17.4 πριν από την 17.4.2, το οποίο επιτρέπει την εκτέλεση αγωγών CI/CD σε αυθαίρετες διακλαδώσεις,”είπε η GitLab σε μια συμβουλευτική.

Η τεχνητή νοημοσύνη αλλάζει το παιχνίδι με την παραγωγή περιεχομένου. Σύμφωνα με την OpenAI, όμως, τα εργαλεία AI χρησιμοποιούνται για τη διάδοση παραπληροφόρησης και προσπαθούν να επηρεάσουν τις εκλογές.

#ΤεχνητήΝοημοσύνη #Πληροφορίες #Διαδίκτυο #Δημοκρατία #Εκλογές #ΜέσαΚοινωνικήςΔικτύωσης #Παραπληροφόρηση #Νομοθεσία #ΨηφιακήΕποχή #Ανάλυση

0 0

YouTube Video VVVDWG45SzRBbWhLQjFZMjNHbjY5YWV3Lng0YU84eERCYTl3

Πώς τα εργαλεία της OpenAI επηρεάζουν τις εκλογές;

SecNewsTV 3 hours ago

#secnews #comet

Ο κομήτης C/2024 S1 μπορεί να είναι ορατός με γυμνό μάτι. Καθ' όλη τη διάρκεια του πρώτου μισού του Οκτωβρίου, ένας εξαιρετικά φωτεινός κομήτης, γνωστός ως Tsuchinshan-ATLAS, θα είναι ορατός με γυμνό μάτι σε μέρη του ουρανού αργά τη νύχτα και νωρίς το πρωί. Ωστόσο, ένας ακόμα κομήτης που ανακαλύφθηκε πιο πρόσφατα, μπορεί επίσης να είναι ορατός και είναι γνωστός ως C/2024 S1. Οι αστρονόμοι μόλις ανακάλυψαν έναν δεύτερο κομήτη, τον C/2024 S1 (ATLAS), ο οποίος θα κάνει επίσης την πλησιέστερη προσέγγισή του στον πλανήτη μας αυτόν τον μήνα και ενδεχομένως να είναι ορατός χωρίς τηλεσκόπιο.

00:00 Εισαγωγή
00:34 Νέος κομήτης
01:09 Λίγες πληροφορίες
01:29 Πλησιέστερη προσέγγιση

Μάθετε περισσότερα: https://www.secnews.gr/624490/komitis-c-2024-s1-mporouse-einai-oratos-gimno-mati/

Follow us:
Facebook: https://www.facebook.com/SecNews
Instagram: https://www.instagram.com/secnews.gr/
X (Twitter): https://twitter.com/Secnews_GR
TikTok: https://www.tiktok.com/@secnewsgr

0

YouTube Video VVVDWG45SzRBbWhLQjFZMjNHbjY5YWV3LmN1MVA2VDBYcVJJ

Ο κομήτης C/2024 S1 μπορεί να είναι ορατός με γυμνό μάτι

SecNewsTV 18 hours ago

Στις μέρες μας, οι QR codes υπάρχουν παντού. Ωστόσο μπορούν να κρύβουν πολλούς κινδύνους.

Πρέπει να είστε πολύ προσεκτικοί και να ελέγξετε κάποια πράγματα πριν σαρώσετε ένα QR code.

Σε αυτό το βίντεο, θα μάθετε τι πρέπει να κάνετε για να σαρώσετε με ασφάλεια QR Codes.

#Ασφάλεια #ΔιαδικτυακέςΑπάτες #Προστασία #Σαρώσεις #CyberSecurity #ΑξιόπιστεςΠηγές #ΠροειδοποιήσειςΑσφαλείας #ΠροσωπικάΣτοιχεία #ΝομισματικήΑπάτη #ΣυμβουλέςΑσφαλείας

1 0

YouTube Video VVVDWG45SzRBbWhLQjFZMjNHbjY5YWV3LlRmcmZuMjA5VTJV

Πώς να Σαρώσετε με Ασφάλεια QR Codes;

SecNewsTV 23 hours ago

Load More... Subscribe

Από τα υπόλοιπα επτά ελαττώματα, τα τέσσερα βαθμολογούνται σε υψηλά επίπεδα, τα δύο έχουν βαθμολογηθεί μέτρια και το ένα έχει βαθμολογηθεί χαμηλή σε σοβαρότητα:

• CVE-2024-8970 (βαθμολογία CVSS: 8,2), επιτρέπει σε έναν εισβολέα να ενεργοποιήσει μια διοχέτευση ως άλλος χρήστης υπό ορισμένες συνθήκες
• CVE-2024-8977 (βαθμολογία CVSS: 8,2), επιτρέπει επιθέσεις SSRF σε παρουσίες GitLab EE με διαμορφωμένο και ενεργοποιημένο τον πίνακα ελέγχου προϊόντων Analytics
• CVE-2024-9631 (βαθμολογία CVSS: 7,5), προκαλεί βραδύτητα κατά την προβολή διαφορών αιτημάτων συγχώνευσης με διενέξεις
• CVE-2024-6530 (βαθμολογία CVSS: 7,3), έχει ως αποτέλεσμα την εισαγωγή HTML στη σελίδα OAuth κατά την εξουσιοδότηση μιας νέας εφαρμογής λόγω προβλήματος δέσμης ενεργειών μεταξύ τοποθεσιών

Δείτε ακόμα: GitLab: Κρίσιμο σφάλμα επιτρέπει εκτέλεση pipelines σε εισβολείς

Ένας αγωγός CI/CD (Continuous Integration/Continuous Deployment), όπως αυτοί που εκμεταλλεύονται λόγω του GitLab, αυτοματοποιεί τη διαδικασία ενσωμάτωσης αλλαγών κώδικα από πολλούς συνεισφέροντες και την ανάπτυξη αυτών των αλλαγών στην παραγωγή γρήγορα και αποτελεσματικά. Αυτός ο αγωγός είναι θεμελιώδης για τη σύγχρονη ανάπτυξη λογισμικού, καθώς διασφαλίζει ότι ο κώδικας δοκιμάζεται, δημιουργείται και κυκλοφορεί με ταχύτητα και αξιοπιστία. Σε μια τυπική ροή εργασίας, οι προγραμματιστές δεσμεύουν κώδικα σε ένα κοινόχρηστο αποθετήριο όπου ενεργοποιούνται αυτοματοποιημένες εκδόσεις και δοκιμές. Αυτό βοηθά στον εντοπισμό σφαλμάτων ή προβλημάτων νωρίς στον κύκλο ανάπτυξης. Μόλις ο κώδικας περάσει όλα τα στάδια της δοκιμής, το τελικό βήμα ανάπτυξης ενημερώνει αυτόματα το ζωντανό περιβάλλον παραγωγής.

Η συμβουλευτική είναι η πιο πρόσφατη πτυχή αυτού που φαίνεται να είναι μια σταθερή ροή τρωτών σημείων που σχετίζονται με αγωγούς CI/CD, και έχουν αποκαλυφθεί από το GitLab τους τελευταίους μήνες.

Τον περασμένο μήνα, η εταιρεία αντιμετώπισε ένα άλλο κρίσιμο ελάττωμα (CVE-2024-6678, βαθμολογία CVSS: 9,9) που θα μπορούσε να επιτρέψει σε έναν εισβολέα να εκτελέσει εργασίες διοχέτευσης ως αυθαίρετος χρήστης. Πριν από αυτό, επιδιορθώθηκαν επίσης τρεις άλλες παρόμοιες ευπάθειες- CVE-2023-5009 (βαθμολογία CVSS: 9,6), CVE-2024-5655 (βαθμολογία CVSS: 9,6) και CVE-2024-6385 (βαθμολογία CVSS: 9,6).

Δείτε επίσης: Κρίσιμο σφάλμα GitLab επιτρέπει σε εισβολείς να εκτελούν pipelines

Αν και δεν υπάρχουν στοιχεία ενεργητικής εκμετάλλευσης της ευπάθειας, συνιστάται στους χρήστες να ενημερώνουν τις παρουσίες τους στην πιο πρόσφατη έκδοση για να προστατεύονται από πιθανές απειλές.

Πηγή: thehackernews