Gitlab страда от втори проблем със сигурността за по-малко от седмица
За по-малко от седмица Разработчиците на Gitlab трябваше да се заемат с работа, Е, преди няколко дни бяха пуснати коригиращите актуализации за GitLab Collaborative Development Platform 15.3.1, 15.2.3 и 15.1.5, които разрешиха критична уязвимост.
изброени под CVE-2022-2884, тази уязвимост може да позволи на удостоверен потребител с достъп до API за импортиране на GitHub отдалечено стартиране на код на сървър. Все още не са разкрити оперативни подробности. Уязвимостта беше идентифицирана от изследовател по сигурността като част от програмата за награди за уязвимости на HackerOne.
Като заобиколно решение, администраторът беше посъветван да деактивира функцията за импортиране от GitHub (в уеб интерфейса на GitLab: „Меню“ -> „Администратор“ -> „Настройки“ -> „Общи“ -> „Видимост и контроли за достъп » -> «Импортиране на източници» -> деактивиране на «GitHub»).
След това и след по-малко от седмица GitLab Публикувам следващата поредица от коригиращи актуализации за тяхната платформа за съвместна разработка: 15.3.2, 15.2.4 и 15.1.6, което коригира втората критична уязвимост.
изброени под CVE-2022-2992, тази уязвимост позволява на удостоверен потребител да изпълни код отдалечено на сървър. Подобно на уязвимостта CVE-2022-2884, която беше коригирана преди седмица, има нов проблем с API за импортиране на данни от услугата GitHub. Уязвимостта се проявява, наред с други неща, във версии 15.3.1, 15.2.3 и 15.1.5, в които беше коригирана първата уязвимост в кода за импортиране от GitHub.
Все още не са разкрити оперативни подробности. Уязвимостта беше изпратена до GitLab като част от програмата за награди за уязвимости на HackerOne, но за разлика от предишния проблем, тя беше идентифицирана от друг участник.
Като заобиколно решение се препоръчва на администратора да деактивира функцията за импортиране от GitHub (в уеб интерфейса на GitLab: „Меню“ -> „Администратор“ -> „Настройки“ -> „Общи“ -> „Контрол за видимост и достъп » -> «Импортиране на източници» -> деактивиране на «GitHub»).
Освен това, предложените актуализации коригират още 14 уязвимости, от които двама са обозначени като опасни, десет са със средна степен на тежест и двама са обозначени като неопасни.
Следните са признати за опасни: уязвимост CVE-2022-2865, който ви позволява да добавите свой собствен JavaScript код към страниците, показвани на други потребители чрез манипулиране на цветни етикети,
Възможно е да се използва уязвимост чрез конфигуриране на функцията за цвят на етикета, която може да доведе до съхранен XSS, който позволява на нападателите да извършват произволни действия от името на жертвите от страна на клиента.
Друга от уязвимостите, която беше решена с новата поредица от корекции, е CVE-2022-2527, което дава възможност за замяна на съдържанието му чрез полето за описание на хронологията на скалата на инцидента). Уязвимостите със средна тежест са свързани предимно с потенциал за отказ на услуга.
Липсата на проверка на дължината на описанията на фрагменти в GitLab CE/EE, засягаща всички версии преди 15.1.6, всички версии от 15.2 преди 15.2.4, всички версии от 15.3 преди 15.3.2, позволява на удостоверен нападател да създаде злонамерено голям фрагмент което, когато е поискано със или без удостоверяване, причинява прекомерно натоварване на сървъра, потенциално водещо до отказ на услуга.
От другите уязвимости които бяха решени:
- Регистърът на пакетите не зачита напълно списъка с разрешени IP адреси на групата, GitLab не е удостоверявал правилно срещу някои регистър на пакети, когато са конфигурирани ограничения за IP адреси, което позволява на атакуващ, който вече притежава валиден токен за разполагане, да го използва неправомерно от всяко място.
- Злоупотребата с извиквания на Gitaly.GetTreeEntries води до отказ на услуга, което позволява на удостоверен и оторизиран потребител да изчерпи ресурсите на сървъра чрез импортиране на злонамерен проект.
- Възможни произволни HTTP заявки в .ipynb Notebook със злонамерени тагове за формуляри, което позволява на атакуващ да издава произволни HTTP заявки.
- Отказът на обслужване с регулярен израз чрез създаден вход позволи на хакер да задейства високо използване на процесора чрез създаден вход, добавен към полето за потвърждение на съобщението.
- Разкриване на информация чрез произволни препратки към GFM, представени в събития от времевата линия на инцидента
- Прочетете съдържанието на хранилището чрез функцията LivePreview: Възможно е неупълномощен потребител да прочете съдържанието на хранилището, ако член на проекта използва създадена връзка.
- Отказ от услуга чрез API при създаване на клон: Неправилното обработване на данни при създаването на клон може да е било използвано за задействане на високо натоварване на процесора.
- Отказ от услуга чрез преглед на проблема
И накрая, ако имате интерес да научите повече за него, можете да се консултирате с подробностите В следващия линк.