एक सप्ताह से भी कम समय में GitLab में दूसरी गंभीर भेद्यता का खुलासा किया गया

Darkcrizt

4 मिनट

Gitlab

Gitlab एक सप्ताह से भी कम समय में दूसरी सुरक्षा समस्या से ग्रस्त है

एक हफ्ते से भी कम समय में Gitlab डेवलपर्स को काम पर उतरना पड़ा, खैर, कुछ दिनों पहले GitLab Collaborative Development Platform 15.3.1, 15.2.3 और 15.1.5 के लिए सुधारात्मक अपडेट जारी किए गए, जिसने एक महत्वपूर्ण भेद्यता का समाधान किया।

के तहत सूचीबद्ध CVE-2022-2884, यह भेद्यता एक प्रमाणित उपयोगकर्ता को GitHub आयात API तक पहुंच की अनुमति दे सकती है सर्वर पर दूरस्थ रूप से कोड चलाएं। अभी तक कोई परिचालन विवरण जारी नहीं किया गया है। एक सुरक्षा शोधकर्ता द्वारा भेद्यता की पहचान HackerOne के भेद्यता इनाम कार्यक्रम के हिस्से के रूप में की गई थी।

समाधान के रूप में, व्यवस्थापक को सलाह दी गई थी कि वह GitHub सुविधा से आयात को अक्षम कर दे (GitLab वेब इंटरफ़ेस में: "मेनू" -> "व्यवस्थापक" -> "सेटिंग" -> "सामान्य" -> "दृश्यता और अभिगम नियंत्रण » -> «आयात स्रोत» -> «GitHub» अक्षम करें)।

उसके बाद और एक हफ्ते से भी कम समय में GitLab मैं सुधारात्मक अद्यतनों की अगली श्रृंखला प्रकाशित करता हूँ उनके सहयोगी विकास मंच के लिए: 15.3.2, 15.2.4, और 15.1.6, जो दूसरी महत्वपूर्ण भेद्यता को ठीक करता है।

के तहत सूचीबद्ध CVE-2022-2992, यह भेद्यता एक प्रमाणीकृत उपयोगकर्ता को कोड निष्पादित करने की अनुमति देती है एक सर्वर पर दूरस्थ रूप से। एक सप्ताह पहले तय की गई CVE-2022-2884 भेद्यता की तरह, GitHub सेवा से डेटा आयात करने के लिए एक नया API समस्या है। अन्य बातों के अलावा, भेद्यता 15.3.1, 15.2.3, और 15.1.5 रिलीज में प्रकट होती है, जिसमें गिटहब से आयात कोड में पहली भेद्यता तय की गई थी।

अभी तक कोई परिचालन विवरण जारी नहीं किया गया है। हैकरऑन के भेद्यता इनाम कार्यक्रम के हिस्से के रूप में भेद्यता को गिटलैब को प्रस्तुत किया गया था, लेकिन पिछले अंक के विपरीत, इसे किसी अन्य योगदानकर्ता द्वारा पहचाना गया था।

समाधान के रूप में, व्यवस्थापक को GitHub सुविधा से आयात को अक्षम करने की अनुशंसा की जाती है (GitLab वेब इंटरफ़ेस में: "मेनू" -> "व्यवस्थापक" -> "सेटिंग्स" -> "सामान्य" -> "दृश्यता और अभिगम नियंत्रण » -> «आयात स्रोत» -> «GitHub» अक्षम करें)।

इसके अलावा, प्रस्तावित अपडेट 14 और कमजोरियों को ठीक करते हैं, जिनमें से दो को खतरनाक के रूप में चिह्नित किया गया है, दस में मध्यम गंभीरता का स्तर है और दो को खतरनाक नहीं के रूप में चिह्नित किया गया है।

निम्नलिखित को खतरनाक माना जाता है: भेद्यता CVE-2022-2865, जो आपको अपना स्वयं का जावास्क्रिप्ट कोड जोड़ने की अनुमति देता है रंग लेबल के हेरफेर के माध्यम से अन्य उपयोगकर्ताओं को प्रदर्शित पृष्ठों पर,

लेबल रंग सुविधा को कॉन्फ़िगर करके एक भेद्यता का फायदा उठाना संभव था जो कि संग्रहीत XSS को जन्म दे सकता है जो हमलावरों को क्लाइंट की ओर से पीड़ितों की ओर से मनमानी कार्रवाई करने की अनुमति देता है। 

सुधारों की नई श्रृंखला के साथ हल की गई कमजोरियों में से एक है CVE-2022-2527, जो विवरण क्षेत्र के माध्यम से इसकी सामग्री को बदलना संभव बनाता है इंसीडेंट स्केल टाइमलाइन पर)। मध्यम गंभीरता की कमजोरियां मुख्य रूप से सेवा क्षमता से इनकार करने से संबंधित हैं।

15.1.6 से पहले के सभी संस्करणों को प्रभावित करने वाले GitLab CE/EE में स्निपेट विवरण पर लंबाई सत्यापन का अभाव, 15.2 से 15.2.4 से पहले के सभी संस्करण, 15.3 से 15.3.2 से पहले के सभी संस्करण एक प्रमाणित हमलावर को दुर्भावनापूर्ण रूप से बड़े स्निपेट बनाने की अनुमति देते हैं। कि, जब प्रमाणीकरण के साथ या बिना प्रमाणीकरण के अनुरोध किया जाता है, तो सर्वर पर अत्यधिक लोड होता है, संभावित रूप से सेवा से इनकार किया जा सकता है।

अन्य कमजोरियों में से जिनका समाधान किया गया:

  • पैकेट रजिस्ट्री समूह की आईपी अनुमति सूची का पूरी तरह से सम्मान नहीं करती है, जब आईपी पता प्रतिबंध कॉन्फ़िगर किए गए थे, तो गिटलैब कुछ पैकेज रजिस्ट्री के खिलाफ ठीक से प्रमाणीकरण नहीं कर रहा था, जिससे एक हमलावर जो पहले से ही वैध तैनाती टोकन रखता है, किसी भी स्थान से इसका दुरुपयोग करेगा।
  • Gitaly.GetTreeEntries कॉल का दुरुपयोग करने से सेवा से इनकार हो जाता है, एक प्रमाणित और अधिकृत उपयोगकर्ता को दुर्भावनापूर्ण प्रोजेक्ट आयात करके सर्वर संसाधनों को समाप्त करने की अनुमति मिलती है।
  • दुर्भावनापूर्ण प्रपत्र टैग के साथ .ipynb नोटबुक में संभावित मनमानी HTTP अनुरोध, जो एक हमलावर को मनमाने HTTP अनुरोध जारी करने की अनुमति देता है।
  • क्राफ्ट किए गए इनपुट के माध्यम से सेवा के नियमित अभिव्यक्ति इनकार ने एक हमलावर को कन्फर्म मैसेज फील्ड में जोड़े गए क्राफ्टेड इनपुट के माध्यम से उच्च CPU उपयोग को ट्रिगर करने की अनुमति दी।
  • घटना समयरेखा घटनाओं में प्रतिनिधित्व किए गए मनमाने जीएफएम संदर्भों के माध्यम से सूचना प्रकटीकरण
  • LivePreview फ़ंक्शन के माध्यम से रिपोजिटरी सामग्री पढ़ें: एक अनधिकृत उपयोगकर्ता के लिए रिपोजिटरी सामग्री को पढ़ना संभव था यदि कोई प्रोजेक्ट सदस्य एक तैयार किए गए लिंक का उपयोग करता है।
  • शाखा बनाते समय एपीआई के माध्यम से सेवा से इनकार: शाखा निर्माण पर अनुचित डेटा हैंडलिंग का उपयोग उच्च CPU उपयोग को ट्रिगर करने के लिए किया जा सकता था।
  • समस्या पूर्वावलोकन के माध्यम से सेवा से इनकार

अंत में, यदि आप इसके बारे में अधिक जानने में रुचि रखते हैं, तो आप विवरण देख सकते हैं निम्नलिखित लिंक में


अपनी टिप्पणी दर्ज करें

आपका ईमेल पता प्रकाशित नहीं किया जाएगा। आवश्यक फ़ील्ड के साथ चिह्नित कर रहे हैं *

*

*

  1. डेटा के लिए जिम्मेदार: मिगुएल elngel Gatón
  2. डेटा का उद्देश्य: नियंत्रण स्पैम, टिप्पणी प्रबंधन।
  3. वैधता: आपकी सहमति
  4. डेटा का संचार: डेटा को कानूनी बाध्यता को छोड़कर तीसरे पक्ष को संचार नहीं किया जाएगा।
  5. डेटा संग्रहण: ऑकेंटस नेटवर्क्स (EU) द्वारा होस्ट किया गया डेटाबेस
  6. अधिकार: किसी भी समय आप अपनी जानकारी को सीमित, पुनर्प्राप्त और हटा सकते हैं।