Το GitLab κυκλοφόρησε ενημερώσεις ασφαλείας για τα Community Edition (CE) και Enterprise Edition (EE), για την αντιμετώπιση οκτώ ελαττωμάτων ασφαλείας, συμπεριλαμβανομένου ενός κρίσιμου σφάλματος που θα μπορούσε να επιτρέψει την εκτέλεση αγωγών Continuous Integration and Continuous Delivery (CI/CD) σε αυθαίρετες διακλαδώσεις.

Δείτε επίσης: Το GitLab κυκλοφορεί επιδιόρθωση για κρίσιμο σφάλμα στο SAML

Γνωστή ως CVE-2024-9164, η ευπάθεια φέρει βαθμολογία CVSS 9,6 στα 10.

Ανακαλύφθηκε ένα πρόβλημα στο GitLab EE που επηρεάζει όλες τις εκδόσεις από την 12.5 πριν από την 17.2.9, την 17.3 πριν από την 17.3.5 και την 17.4 πριν από την 17.4.2, το οποίο επιτρέπει την εκτέλεση αγωγών CI/CD σε αυθαίρετες διακλαδώσεις,”είπε η GitLab σε μια συμβουλευτική.

Από τα υπόλοιπα επτά ελαττώματα, τα τέσσερα βαθμολογούνται σε υψηλά επίπεδα, τα δύο έχουν βαθμολογηθεί μέτρια και το ένα έχει βαθμολογηθεί χαμηλή σε σοβαρότητα:

  • CVE-2024-8970 (βαθμολογία CVSS: 8,2), επιτρέπει σε έναν εισβολέα να ενεργοποιήσει μια διοχέτευση ως άλλος χρήστης υπό ορισμένες συνθήκες
  • CVE-2024-8977 (βαθμολογία CVSS: 8,2), επιτρέπει επιθέσεις SSRF σε παρουσίες GitLab EE με διαμορφωμένο και ενεργοποιημένο τον πίνακα ελέγχου προϊόντων Analytics
  • CVE-2024-9631 (βαθμολογία CVSS: 7,5), προκαλεί βραδύτητα κατά την προβολή διαφορών αιτημάτων συγχώνευσης με διενέξεις
  • CVE-2024-6530 (βαθμολογία CVSS: 7,3), έχει ως αποτέλεσμα την εισαγωγή HTML στη σελίδα OAuth κατά την εξουσιοδότηση μιας νέας εφαρμογής λόγω προβλήματος δέσμης ενεργειών μεταξύ τοποθεσιών

Δείτε ακόμα: GitLab: Κρίσιμο σφάλμα επιτρέπει εκτέλεση pipelines σε εισβολείς

Ένας αγωγός CI/CD (Continuous Integration/Continuous Deployment), όπως αυτοί που εκμεταλλεύονται λόγω του GitLab, αυτοματοποιεί τη διαδικασία ενσωμάτωσης αλλαγών κώδικα από πολλούς συνεισφέροντες και την ανάπτυξη αυτών των αλλαγών στην παραγωγή γρήγορα και αποτελεσματικά. Αυτός ο αγωγός είναι θεμελιώδης για τη σύγχρονη ανάπτυξη λογισμικού, καθώς διασφαλίζει ότι ο κώδικας δοκιμάζεται, δημιουργείται και κυκλοφορεί με ταχύτητα και αξιοπιστία. Σε μια τυπική ροή εργασίας, οι προγραμματιστές

δεσμεύουν κώδικα σε ένα κοινόχρηστο αποθετήριο όπου ενεργοποιούνται αυτοματοποιημένες εκδόσεις και δοκιμές. Αυτό βοηθά στον εντοπισμό σφαλμάτων ή προβλημάτων νωρίς στον κύκλο ανάπτυξης. Μόλις ο κώδικας περάσει όλα τα στάδια της δοκιμής, το τελικό βήμα ανάπτυξης ενημερώνει αυτόματα το ζωντανό περιβάλλον παραγωγής.

Η συμβουλευτική είναι η πιο πρόσφατη πτυχή αυτού που φαίνεται να είναι μια σταθερή ροή τρωτών σημείων που σχετίζονται με αγωγούς CI/CD, και έχουν αποκαλυφθεί από το GitLab τους τελευταίους μήνες.

Τον περασμένο μήνα, η εταιρεία αντιμετώπισε ένα άλλο κρίσιμο ελάττωμα (CVE-2024-6678, βαθμολογία CVSS: 9,9) που θα μπορούσε να επιτρέψει σε έναν εισβολέα να εκτελέσει εργασίες διοχέτευσης ως αυθαίρετος χρήστης. Πριν από αυτό, επιδιορθώθηκαν επίσης τρεις άλλες παρόμοιες ευπάθειες- CVE-2023-5009 (βαθμολογία CVSS: 9,6), CVE-2024-5655 (βαθμολογία CVSS: 9,6) και CVE-2024-6385 (βαθμολογία CVSS: 9,6).

Δείτε επίσης: Κρίσιμο σφάλμα GitLab επιτρέπει σε εισβολείς να εκτελούν pipelines

Αν και δεν υπάρχουν στοιχεία ενεργητικής εκμετάλλευσης της ευπάθειας, συνιστάται στους χρήστες να ενημερώνουν τις παρουσίες τους στην πιο πρόσφατη έκδοση για να προστατεύονται από πιθανές απειλές.

Πηγή: thehackernews