Το GitLab κυκλοφόρησε μια επιδιόρθωση για ένα ελάττωμα ασφαλείας που ανακαλύφθηκε πρόσφατα και προτρέπει τους χρήστες του να το εγκαταστήσουν αμέσως καθώς αντιμετωπίζει μια ευπάθεια υψηλής σοβαρότητας που μπορεί να προκαλέσει κάθε είδους προβλήματα.
Σε ένα δελτίο ασφαλείας, το GitLab είπε ότι ένας εισβολέας θα μπορούσε να κάνει κατάχρηση των πολιτικών εκτέλεσης σάρωσης για να εκτελέσει αγωγούς (μια σειρά από αυτοματοποιημένες εργασίες) ως άλλος χρήστης.
Αυτό το ελάττωμα παρακολουθείται τώρα ως CVE-
2023
-4998 και έχει βαθμολογία σοβαρότητας 9,6. Επηρεάζει μερικές εκδόσεις του λογισμικού, δηλαδή το GitLab Community Edition (CE) και Enterprise Edition (EE) εκδόσεις 13.12 έως 16.2.7 και εκδόσεις 16.3 έως 16.3.4.
Σύμφωνα με α
BleepingComputer
αναφορά, ένας παράγοντας απειλής θα μπορούσε να πλαστοπροσωπήσει έναν χρήστη χωρίς τη γνώση και την άδειά του και να αποκτήσει πρόσβαση σε ευαίσθητες πληροφορίες ή να εκτελέσει κακόβουλο κώδικα, να τροποποιήσει δεδομένα ή να ενεργοποιήσει συγκεκριμένα συμβάντα εντός του συστήματος GitLab. Δεδομένου ότι το GitLab είναι μια
πλατφόρμα
διαχείρισης κώδικα, η ευπάθεια θα μπορούσε να οδηγήσει σε κλοπή πνευματικής ιδιοκτησίας, διαρροές δεδομένων, επιθέσεις στην αλυσίδα εφοδιασμού και πολλά άλλα, ισχυρίζεται η δημοσίευση.
Διορθώσεις και λύσεις
Σύμφωνα με α
BleepingComputer
αναφορά, ένας παράγοντας απειλής θα μπορούσε να πλαστοπροσωπήσει έναν χρήστη χωρίς τη γνώση και την άδειά του και να αποκτήσει πρόσβαση σε ευαίσθητες πληροφορίες ή να εκτελέσει κακόβουλο κώδικα, να τροποποιήσει δεδομένα ή να ενεργοποιήσει συγκεκριμένα συμβάντα εντός του συστήματος GitLab. Δεδομένου ότι το GitLab είναι μια πλατφόρμα διαχείρισης κώδικα, η ευπάθεια θα μπορούσε να οδηγήσει σε κλοπή πνευματικής ιδιοκτησίας, διαρροές δεδομένων, επιθέσεις στην αλυσίδα εφοδιασμού και πολλά άλλα, ισχυρίζεται η δημοσίευση.
“Συνιστούμε ανεπιφύλακτα όλες οι εγκαταστάσεις που εκτελούν μια έκδοση που επηρεάζεται από τα ζητήματα που περιγράφονται παρακάτω να αναβαθμιστούν στην πιο πρόσφατη έκδοση το συντομότερο δυνατό”, ανέφερε το GitLab στη συμβουλή.
Η ευπάθεια, που ανακαλύφθηκε από τον ερευνητή ασφαλείας Johan Carlsson, στην πραγματικότητα προέρχεται από ένα προηγούμενο ελάττωμα που προφανώς δεν αντιμετωπίστηκε σωστά. Τον περασμένο μήνα, βρέθηκε και διορθώθηκε μια ευπάθεια που παρακολουθείται ως VE-2023-3932. Τότε, ήταν ένα ελάττωμα μέτριας σοβαρότητας. Ωστόσο, ο Carlsson βρήκε έναν τρόπο να επιλύσει τη διόρθωση και μάλιστα ανακάλυψε ότι το νέο ελάττωμα έχει ακόμα μεγαλύτερο
βάρος
(εξ ου και η νέα βαθμολογία σοβαρότητας 9,6).
Οι χρήστες που εκτελούν εκδόσεις GitLab παλαιότερες από 16.2 θα πρέπει να βεβαιωθούν ότι δεν έχουν ενεργοποιημένες τις “Άμεσες
μεταφορές
” και τις “Πολιτικές Ασφαλείας”, καθώς αυτό θα καταστήσει το τελικό σημείο ευάλωτο. Οι χρήστες θα πρέπει να έχουν μόνο μία περισ
τροφή
ανά πάσα στιγμή, ανέφερε η συμβουλευτική.
Το GitLab μπορεί να ενημερωθεί μέσω πακέτων GitLab Runner από τον επίσημο ιστότοπο.
