Το GitLab κυκλοφόρησε ενημερώσεις ασφαλείας τόσο για την Community όσο και για την
Enterprise
Edition για την αντιμετώπιση δύο κρίσιμων σημείων ευπάθειας, ένα από τα οποία επιτρέπει την παραβίαση λογαριασμού χωρίς αλληλεπίδραση με τον χρήστη.
Ο προμηθευτής συνιστά ανεπιφύλακτα την
ενημέρωση
το συντομότερο δυνατό όλων των ευάλωτων εκδόσεων της πλατφόρμας DevSecOps (απαιτείται μη αυτόματη ενημέρωση για αυτο-φιλοξενούμενες εγκαταστάσεις) και προειδοποιεί ότι εάν “δεν υπάρχει συγκεκριμένος τύπος ανάπτυξης (omnibus, πηγαίος κώδικας, γράφημα πηδαλίου κ.λπ.) αναφέρεται ένα προϊόν, αυτό σημαίνει ότι επηρεάζονται όλοι οι τύποι.”
Λεπτομέρειες ευπάθειας
Το πιο κρίσιμο ζήτημα ασφαλείας που επιδιορθώθηκε στο GitLab έχει τη μέγιστη βαθμολογία σοβαρότητας (10 στα 10) και παρακολουθείται ως CVE-2023-7028. Η επιτυχής εκμετάλλευση δεν απαιτεί καμία αλληλεπίδραση.
Είναι ένα πρόβλημα ελέγχου ταυτότητας που επιτρέπει την αποστολή αιτημάτων επαναφοράς κωδικού πρόσβασης σε αυθαίρετες, μη επαληθευμένες διευθύνσεις email, επιτρέποντας την ανάληψη λογαριασμού. Εάν ο έλεγχος ταυτότητας δύο παραγόντων (2FA) είναι ενεργός, είναι δυνατή η επαναφορά του κωδικού πρόσβασης, αλλά ο δεύτερος παράγοντας ελέγχου ταυτότητας εξακολουθεί να απαιτείται για επιτυχή σύνδεση.
Η παραβίαση ενός λογαριασμού GitLab μπορεί να έχει σημαντικό αντίκτυπο σε έναν οργανισμό, καθώς η πλατφόρμα χρησιμοποιείται συνήθως για να φιλοξενήσει ιδιόκτητο κώδικα, κλειδιά API και άλλα ευαίσθητα δεδομένα.
Ένας άλλος κίνδυνος είναι αυτός των επιθέσεων εφοδιαστικής αλυσίδας όπου οι εισβολείς μπορούν να παραβιάσουν τα αποθετήρια εισάγοντας κακόβουλο κώδικα σε ζωντανά περιβάλλοντα όταν το GitLab χρησιμοποιείται για CI/CD (Συνεχής Ενοποίηση/Συνεχής Ανάπτυξη).
Το ζήτημα ανακαλύφθηκε και αναφέρθηκε στο GitLab από τον ερευνητή ασφαλείας «Asterion» μέσω της πλατφόρμας επιβράβευσης σφαλμάτων HackerOne και παρουσιάστηκε την 1η Μαΐου 2023, με την έκδοση 16.1.0.
Επηρεάζονται οι ακόλουθες εκδόσεις:
- 16.1 πριν από 16.1.5
- 16.2 πριν από 16.2.8
- 16.3 πριν από 16.3.6
- 16.4 πριν από 16.4.4
- 16.5 πριν από 16.5.6
- 16.6 πριν από 16.6.4
- 16.7 πριν από 16.7.2
Το ελάττωμα αντιμετωπίστηκε στις εκδόσεις 16.7.2, 16.5.6 και 16.6.4 του GitLab και η επιδιόρθωση έχει επίσης υποβληθεί στις εκδόσεις 16.1.6, 16.2.9 και 16.3.7.
Το GitLab λέει ότι δεν έχει εντοπίσει περιπτώσεις ενεργητικής εκμετάλλευσης του CVE-2023-7028, αλλά μοιράστηκε τα ακόλουθα σημάδια συμβιβασμού για τους υπερασπιστές:
-
Check gitlab-rails/production_json.log for HTTP requests to the /users/password path with params.value.email consisting of a JSON array with multiple email addresses.
-
Check gitlab-rails/audit_json.log for entries with meta.caller.id of PasswordsController#create and target_details consisting of a JSON array with multiple email addresses.
Το δεύτερο κρίσιμο πρόβλημα προσδιορίζεται ως CVE-2023-5356 και έχει βαθμολογία σοβαρότητας 9,6 στα 10. Ένας εισβολέας θα μπορούσε να το εκμεταλλευτεί για να καταχραστεί τις ενσωματώσεις
Slack
/Mattermost για να εκτελέσει εντολές κάθετου ως άλλος χρήστης.
Στο Mattermost, οι εντολές κάθετο επιτρέπουν την ενσωμάτωση εξωτερικών εφαρμογών στο χώρο εργασίας και στο Slack λειτουργούν ως συντομεύσεις για την κλήση εφαρμογών στο πλαίσιο σύνθεσης μηνυμάτων.
Τα υπόλοιπα ελαττώματα που το GitLab διόρθωσε στην έκδοση 16.7.2 είναι:
-
CVE-2023-4812
: Ευπάθεια υψηλής σοβαρότητας στο GitLab 15.3 και μεταγενέστερα, που επιτρέπει την παράκαμψη της έγκρισης CODEOWNERS κάνοντας αλλαγές σε ένα προηγουμένως εγκεκριμένο αίτημα
συγχώνευση
ς. -
CVE-2023-6955
: Λανθασμένος έλεγχος πρόσβασης για Χώρους εργασίας που υπήρχαν στο GitLab πριν από την 16.7.2, επιτρέποντας στους εισβολείς να δη
μι
ουργήσουν έναν χώρο εργασίας σε μια ομάδα που σχετίζεται με έναν πράκτορα από άλλη ομάδα. -
CVE-2023-2030
: Ελάττωμα επικύρωσης υπογραφής που επηρεάζει τις εκδόσεις 12.2 και μεταγενέστερες του GitLab CE/EE, που περιλαμβάνει τη δυνατότητα τροποποίησης των μεταδεδομένων των υπογεγραμμένων δεσμεύσεων λόγω ακατάλληλης επικύρωσης υπογραφής
Για οδηγίες και επίσημους πόρους ενημέρωσης, ανατρέξτε στο GitLab
σελίδα ενημέρωσης
. Για το Gitlab Runner,
επισκεφθείτε αυτήν την ιστοσελίδα
.
VIA:
bleepingcomputer.com
