Za méně než týden byla v GitLabu odhalena druhá kritická chyba zabezpečení

Darkcrizt

4 minut

Gitlab

Gitlab trpí druhým bezpečnostním problémem za méně než týden

Za méně než týden Vývojáři Gitlabu se museli pustit do práce, No, před několika dny byly vydány opravné aktualizace pro GitLab Collaborative Development Platform 15.3.1, 15.2.3 a 15.1.5, které vyřešily kritickou zranitelnost.

uvedené pod CVE-2022-2884, tato chyba zabezpečení by mohla umožnit ověřenému uživateli přístup k rozhraní GitHub Import API vzdáleně spouštět kód na serveru. Žádné provozní podrobnosti zatím nebyly zveřejněny. Zranitelnost byla identifikována bezpečnostním výzkumníkem v rámci programu odměny za zranitelnost společnosti HackerOne.

Jako náhradní řešení bylo správci doporučeno zakázat import z funkce GitHub (ve webovém rozhraní GitLab: „Menu“ -> „Správce“ -> „Nastavení“ -> „Obecné“ -> „Ovládání viditelnosti a přístupu » -> «Importovat zdroje» -> deaktivovat «GitHub»).

Poté a za méně než týden GitLab Zveřejňuji další sérii opravných aktualizací pro jejich kolaborativní vývojovou platformu: 15.3.2, 15.2.4 a 15.1.6, která opravuje druhou kritickou chybu zabezpečení.

uvedené pod CVE-2022-2992, tato chyba zabezpečení umožňuje ověřenému uživateli spouštět kód vzdáleně na serveru. Stejně jako chyba zabezpečení CVE-2022-2884, která byla opravena před týdnem, existuje nový problém s rozhraním API pro import dat ze služby GitHub. Zranitelnost se projevuje mimo jiné ve vydáních 15.3.1, 15.2.3 a 15.1.5, ve kterých byla opravena první zranitelnost v importním kódu z GitHubu.

Žádné provozní podrobnosti zatím nebyly zveřejněny. Chyba zabezpečení byla odeslána do GitLab jako součást programu odměny za zranitelnost HackerOne, ale na rozdíl od předchozího problému ji identifikoval jiný přispěvatel.

Jako náhradní řešení se doporučuje administrátorovi zakázat import z funkce GitHub (ve webovém rozhraní GitLab: „Menu“ -> „Správce“ -> „Nastavení“ -> „Obecné“ -> „Ovládání viditelnosti a přístupu » -> «Importovat zdroje» -> deaktivovat «GitHub»).

Navíc, navrhované aktualizace opravují 14 dalších zranitelností, z nichž dva jsou označeny jako nebezpečné, deset má střední stupeň závažnosti a dva jsou označeny jako nebezpečné.

Následující jsou považovány za nebezpečné: zranitelnost CVE-2022-2865, který umožňuje přidat vlastní kód JavaScript na stránky zobrazované ostatním uživatelům manipulací s barevnými štítky,

Chybu zabezpečení bylo možné zneužít konfigurací funkce barvy štítků, která by mohla vést k uložení XSS, které útočníkům umožňovalo provádět libovolné akce jménem obětí na straně klienta. 

Další ze zranitelností, která byla vyřešena novou sérií oprav, je CVE-2022-2527, což umožňuje nahradit jeho obsah prostřednictvím pole popisu na časové ose škály incidentů). Středně závažná zranitelnost souvisí především s odepřením servisního potenciálu.

Nedostatek ověření délky v popisech úryvků v GitLab CE/EE ovlivňující všechny verze před 15.1.6, všechny verze od 15.2 před 15.2.4, všechny verze od 15.3 před 15.3.2 umožňuje ověřenému útočníkovi vytvořit zákeřně velký úryvek to, když je požadováno s ověřením nebo bez něj, způsobí nadměrné zatížení serveru, což může vést k odmítnutí služby.

Z dalších zranitelností které byly vyřešeny:

  • Registr paketů plně nerespektuje seznam povolených IP adres skupiny, GitLab se správně neověřoval proti některému registru balíčků, když byla konfigurována omezení IP adres, což umožnilo útočníkovi, který již vlastnil platný token nasazení, jej zneužít z libovolného místa.
  • Zneužívání volání Gitaly.GetTreeEntries vede k odmítnutí služby, což umožňuje ověřenému a autorizovanému uživateli vyčerpat zdroje serveru importem škodlivého projektu.
  • Možné libovolné požadavky HTTP v poznámkovém bloku .ipynb se škodlivými značkami formuláře, které umožňují útočníkovi zadávat libovolné požadavky HTTP.
  • Odepření služby regulárním výrazem prostřednictvím vytvořeného vstupu umožnilo útočníkovi spustit vysoké využití procesoru prostřednictvím vytvořeného vstupu přidaného do pole Potvrdit zprávu.
  • Zveřejňování informací prostřednictvím libovolných odkazů GFM zastoupených v událostech na časové ose incidentu
  • Čtení obsahu úložiště pomocí funkce LivePreview: Pokud člen projektu použil vytvořený odkaz, mohl neoprávněný uživatel číst obsah úložiště.
  • Denial of Service přes API při vytváření větve: Nesprávná manipulace s daty při vytváření větve mohla být použita ke spuštění vysokého využití CPU.
  • Odmítnutí služby prostřednictvím náhledu problému

Konečně, pokud máte zájem dozvědět se o tom více, můžete konzultovat podrobnosti Na následujícím odkazu.


Zanechte svůj komentář

Vaše e-mailová adresa nebude zveřejněna. Povinné položky jsou označeny *

*

*

  1. Odpovědný za údaje: Miguel Ángel Gatón
  2. Účel údajů: Ovládací SPAM, správa komentářů.
  3. Legitimace: Váš souhlas
  4. Sdělování údajů: Údaje nebudou sděleny třetím osobám, s výjimkou zákonných povinností.
  5. Úložiště dat: Databáze hostovaná společností Occentus Networks (EU)
  6. Práva: Vaše údaje můžete kdykoli omezit, obnovit a odstranit.