Gitlabil on vähem kui nädala pärast teine turvaprobleem
Vähem kui nädala pärast Gitlabi arendajad on pidanud tööle asuma, Noh, paar päeva tagasi avaldati GitLabi koostöö arendusplatvormi 15.3.1, 15.2.3 ja 15.1.5 parandavad värskendused, mis lahendasid kriitilise haavatavuse.
all loetletud CVE-2022-2884, võib see haavatavus lubada autentitud kasutajal juurdepääsu GitHubi impordi API-le serveris koodi kaugkäivitamine. Operatsiooni üksikasju pole veel avaldatud. Turvalisuse uurija tuvastas haavatavuse osana HackerOne'i haavatavuse hüvitusprogrammist.
Probleemi lahendamiseks soovitati administraatoril keelata GitHubi funktsioonist importimine (GitLabi veebiliideses: "Menüü" -> "Administraator" -> "Seaded" -> "Üldine" -> "Nähtavus ja juurdepääsu juhtelemendid" -> "Impordi allikad" -> keelake "GitHub").
Pärast seda ja vähem kui nädala pärast GitLab Avaldan järgmise korrigeerivate värskenduste seeria nende koostöö arendusplatvormi jaoks: 15.3.2, 15.2.4 ja 15.1.6, mis parandab teise kriitilise haavatavuse.
all loetletud CVE-2022-2992, see haavatavus võimaldab autentitud kasutajal koodi käivitada eemalt serveris. Nagu nädal tagasi parandatud haavatavus CVE-2022-2884, on ka GitHubi teenusest andmete importimisel uus API probleem. Haavatavus avaldub muuhulgas väljaannetes 15.3.1, 15.2.3 ja 15.1.5, milles parandati esimene haavatavus GitHubist imporditavas koodis.
Operatsiooni üksikasju pole veel avaldatud. Haavatavus esitati GitLabile HackerOne'i haavatavuse halastusprogrammi osana, kuid erinevalt eelmisest probleemist tuvastas selle teine panija.
Probleemi lahendamiseks soovitatakse administraatoril keelata GitHubi funktsioonist importimine (GitLabi veebiliideses: "Menüü" -> "Administraator" -> "Seaded" -> "Üldine" -> "Nähtavus ja juurdepääsu juhtelemendid" -> "Impordi allikad" -> keelake "GitHub").
Lisaks pakutud värskendused parandavad veel 14 turvaauku, millest kaks on märgitud ohtlikuks, kümme on keskmise raskusastmega ja kaks on märgitud mitteohtlikuks.
Ohtlikuks tunnistatakse järgmist: haavatavus CVE-2022-2865, mis võimaldab teil lisada oma JavaScripti koodi lehtedele, mida teistele kasutajatele kuvatakse värvisiltide manipuleerimise kaudu,
Haavatavust oli võimalik ära kasutada, konfigureerides sildi värvi funktsiooni, mis võis viia salvestatud XSS-i, mis võimaldas ründajatel teha kliendi poolel ohvrite nimel meelevaldseid toiminguid.
Veel üks haavatavus, mis uue paranduste seeriaga lahendati, on CVE-2022-2527, mis võimaldab selle sisu asendada kirjeldusvälja kaudu juhtumite skaala ajajoonel). Keskmise raskusastmega haavatavused on peamiselt seotud teenuse keelamise potentsiaaliga.
GitLab CE/EE katkendite kirjelduste pikkuse kinnitamise puudumine, mis mõjutab kõiki versioone enne versiooni 15.1.6, kõiki versioone alates 15.2 kuni 15.2.4, kõiki versioone alates versioonist 15.3 kuni 15.3.2, võimaldab autentitud ründajal luua pahatahtlikult suure koodilõigu mis autentimisega või ilma selleta taotlemisel põhjustab serveri liigset koormust, mis võib viia teenuse keelamiseni.
Muudest haavatavustest mis lahendati:
- Paketiregister ei järgi täielikult grupi IP-lubade loendit, GitLab ei autentinud IP-aadressi piirangute seadistamisel mõne paketiregistri vastu korralikult, võimaldades ründajal, kellel oli juba kehtiv juurutusluba, seda mis tahes kohast kuritarvitada.
- Gitaly.GetTreeEntriesi kõnede kuritarvitamine viib teenuse keelamiseni, võimaldades autentitud ja volitatud kasutajal pahatahtliku projekti importimise teel serveriressursse ammendada.
- Võimalikud suvalised HTTP-päringud .ipynb-märkmikus koos pahatahtlike vormimärgenditega, mis võimaldab ründajal väljastada suvalisi HTTP-päringuid.
- Regulaaravaldise teenuse keelamine loodud sisendi kaudu võimaldas ründajal käivitada kõrge protsessori kasutuse väljale Kinnitussõnum lisatud meisterdatud sisendi kaudu.
- Teabe avaldamine suvaliste GFM-i viidete kaudu, mis on esindatud juhtumite ajaskaala sündmustes
- Hoidla sisu lugemine LivePreview funktsiooni kaudu: volitamata kasutajal oli võimalik hoidla sisu lugeda, kui projekti liige kasutas loodud linki.
- Teenuse keelamine API kaudu haru loomisel: haru loomisel võidi kasutada ebaõiget andmetöötlust, et käivitada protsessori kõrge kasutus.
- Teenusest keeldumine probleemi eelvaate kaudu
Lõpuks, kui olete huvitatud sellest rohkem teada saama, saate üksikasju vaadata Järgmisel lingil.