ಒಂದು ವಾರಕ್ಕಿಂತ ಕಡಿಮೆ ಅವಧಿಯಲ್ಲಿ GitLab ನಲ್ಲಿ ಎರಡನೇ ನಿರ್ಣಾಯಕ ದುರ್ಬಲತೆಯನ್ನು ಬಹಿರಂಗಪಡಿಸಲಾಯಿತು

Darkcrizt

4 ನಿಮಿಷಗಳು

ಗಿಟ್ಲ್ಯಾಬ್

Gitlab ಒಂದು ವಾರದೊಳಗೆ ಎರಡನೇ ಭದ್ರತಾ ಸಮಸ್ಯೆಯಿಂದ ಬಳಲುತ್ತಿದೆ

ಒಂದು ವಾರಕ್ಕಿಂತ ಕಡಿಮೆ ಅವಧಿಯಲ್ಲಿ ಗಿಟ್ಲ್ಯಾಬ್ ಡೆವಲಪರ್‌ಗಳು ಕೆಲಸಕ್ಕೆ ಇಳಿಯಬೇಕಾಗಿತ್ತು, ಸರಿ, ಕೆಲವು ದಿನಗಳ ಹಿಂದೆ GitLab ಸಹಯೋಗ ಅಭಿವೃದ್ಧಿ ಪ್ಲಾಟ್‌ಫಾರ್ಮ್ 15.3.1, 15.2.3 ಮತ್ತು 15.1.5 ಗಾಗಿ ಸರಿಪಡಿಸುವ ಅಪ್‌ಡೇಟ್‌ಗಳನ್ನು ಬಿಡುಗಡೆ ಮಾಡಲಾಗಿದೆ, ಇದು ನಿರ್ಣಾಯಕ ದುರ್ಬಲತೆಯನ್ನು ಪರಿಹರಿಸಿದೆ.

ಅಡಿಯಲ್ಲಿ ಪಟ್ಟಿ ಮಾಡಲಾಗಿದೆ CVE-2022-2884, ಈ ದುರ್ಬಲತೆಯು GitHub ಆಮದು API ಗೆ ಪ್ರವೇಶದೊಂದಿಗೆ ದೃಢೀಕೃತ ಬಳಕೆದಾರರನ್ನು ಅನುಮತಿಸಬಹುದು ಸರ್ವರ್‌ನಲ್ಲಿ ರಿಮೋಟ್ ಕೋಡ್ ಅನ್ನು ರನ್ ಮಾಡಿ. ಯಾವುದೇ ಕಾರ್ಯಾಚರಣೆಯ ವಿವರಗಳನ್ನು ಇನ್ನೂ ಬಿಡುಗಡೆ ಮಾಡಲಾಗಿಲ್ಲ. ದುರ್ಬಲತೆಯನ್ನು ಹ್ಯಾಕರ್‌ಒನ್‌ನ ದುರ್ಬಲತೆ ಬೌಂಟಿ ಕಾರ್ಯಕ್ರಮದ ಭಾಗವಾಗಿ ಭದ್ರತಾ ಸಂಶೋಧಕರು ಗುರುತಿಸಿದ್ದಾರೆ.

ಪರಿಹಾರವಾಗಿ, ನಿರ್ವಾಹಕರಿಗೆ GitHub ವೈಶಿಷ್ಟ್ಯದಿಂದ ಆಮದು ಮಾಡುವುದನ್ನು ನಿಷ್ಕ್ರಿಯಗೊಳಿಸಲು ಸಲಹೆ ನೀಡಲಾಯಿತು (GitLab ವೆಬ್ ಇಂಟರ್ಫೇಸ್‌ನಲ್ಲಿ: “ಮೆನು” -> “ನಿರ್ವಹಣೆ” -> “ಸೆಟ್ಟಿಂಗ್‌ಗಳು” -> “ಸಾಮಾನ್ಯ” -> “ಗೋಚರತೆ ಮತ್ತು ಪ್ರವೇಶ ನಿಯಂತ್ರಣಗಳು » -> "ಆಮದು ಮೂಲಗಳು" -> "GitHub" ನಿಷ್ಕ್ರಿಯಗೊಳಿಸಿ).

ಅದರ ನಂತರ ಮತ್ತು ಒಂದು ವಾರದೊಳಗೆ ಗಿಟ್ಲಾಬ್ ನಾನು ಸರಿಪಡಿಸುವ ನವೀಕರಣಗಳ ಮುಂದಿನ ಸರಣಿಯನ್ನು ಪ್ರಕಟಿಸುತ್ತೇನೆ ಅವರ ಸಹಯೋಗದ ಅಭಿವೃದ್ಧಿ ವೇದಿಕೆಗಾಗಿ: 15.3.2, 15.2.4, ಮತ್ತು 15.1.6, ಇದು ಎರಡನೇ ನಿರ್ಣಾಯಕ ದುರ್ಬಲತೆಯನ್ನು ಸರಿಪಡಿಸುತ್ತದೆ.

ಅಡಿಯಲ್ಲಿ ಪಟ್ಟಿ ಮಾಡಲಾಗಿದೆ CVE-2022-2992, ಈ ದುರ್ಬಲತೆಯು ದೃಢೀಕೃತ ಬಳಕೆದಾರರಿಗೆ ಕೋಡ್ ಅನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸಲು ಅನುಮತಿಸುತ್ತದೆ ಸರ್ವರ್‌ನಲ್ಲಿ ದೂರದಿಂದಲೇ. ಒಂದು ವಾರದ ಹಿಂದೆ ಸರಿಪಡಿಸಲಾದ CVE-2022-2884 ದುರ್ಬಲತೆಯಂತೆ, GitHub ಸೇವೆಯಿಂದ ಡೇಟಾವನ್ನು ಆಮದು ಮಾಡಿಕೊಳ್ಳಲು ಹೊಸ API ಸಮಸ್ಯೆ ಇದೆ. ಇತರ ವಿಷಯಗಳ ಜೊತೆಗೆ, 15.3.1, 15.2.3 ಮತ್ತು 15.1.5 ಬಿಡುಗಡೆಗಳಲ್ಲಿ ದುರ್ಬಲತೆಯು ಸ್ವತಃ ಪ್ರಕಟವಾಗುತ್ತದೆ, ಇದರಲ್ಲಿ GitHub ನಿಂದ ಆಮದು ಕೋಡ್‌ನಲ್ಲಿನ ಮೊದಲ ದುರ್ಬಲತೆಯನ್ನು ನಿವಾರಿಸಲಾಗಿದೆ.

ಯಾವುದೇ ಕಾರ್ಯಾಚರಣೆಯ ವಿವರಗಳನ್ನು ಇನ್ನೂ ಬಿಡುಗಡೆ ಮಾಡಲಾಗಿಲ್ಲ. ದುರ್ಬಲತೆಯನ್ನು ಹ್ಯಾಕರ್‌ಒನ್‌ನ ದುರ್ಬಲತೆ ಬೌಂಟಿ ಕಾರ್ಯಕ್ರಮದ ಭಾಗವಾಗಿ GitLab ಗೆ ಸಲ್ಲಿಸಲಾಗಿದೆ, ಆದರೆ ಹಿಂದಿನ ಸಂಚಿಕೆಗಿಂತ ಭಿನ್ನವಾಗಿ, ಅದನ್ನು ಇನ್ನೊಬ್ಬ ಕೊಡುಗೆದಾರರು ಗುರುತಿಸಿದ್ದಾರೆ.

ಪರಿಹಾರವಾಗಿ, ನಿರ್ವಾಹಕರು GitHub ವೈಶಿಷ್ಟ್ಯದಿಂದ ಆಮದನ್ನು ನಿಷ್ಕ್ರಿಯಗೊಳಿಸಲು ಶಿಫಾರಸು ಮಾಡುತ್ತಾರೆ (GitLab ವೆಬ್ ಇಂಟರ್ಫೇಸ್‌ನಲ್ಲಿ: “ಮೆನು” -> “ನಿರ್ವಹಣೆ” -> “ಸೆಟ್ಟಿಂಗ್‌ಗಳು” -> “ಸಾಮಾನ್ಯ” -> “ಗೋಚರತೆ ಮತ್ತು ಪ್ರವೇಶ ನಿಯಂತ್ರಣಗಳು » -> "ಆಮದು ಮೂಲಗಳು" -> "GitHub" ನಿಷ್ಕ್ರಿಯಗೊಳಿಸಿ).

ಸಹ, ಪ್ರಸ್ತಾವಿತ ನವೀಕರಣಗಳು 14 ಹೆಚ್ಚಿನ ದೋಷಗಳನ್ನು ಸರಿಪಡಿಸುತ್ತವೆ, ಅವುಗಳಲ್ಲಿ ಎರಡು ಅಪಾಯಕಾರಿ ಎಂದು ಗುರುತಿಸಲಾಗಿದೆ, ಹತ್ತು ಮಧ್ಯಮ ತೀವ್ರತೆಯ ಮಟ್ಟವನ್ನು ಹೊಂದಿದೆ ಮತ್ತು ಎರಡು ಅಪಾಯಕಾರಿ ಅಲ್ಲ ಎಂದು ಗುರುತಿಸಲಾಗಿದೆ.

ಕೆಳಗಿನವುಗಳನ್ನು ಅಪಾಯಕಾರಿ ಎಂದು ಗುರುತಿಸಲಾಗಿದೆ: ದುರ್ಬಲತೆ CVE-2022-2865, ಇದು ನಿಮ್ಮ ಸ್ವಂತ JavaScript ಕೋಡ್ ಅನ್ನು ಸೇರಿಸಲು ನಿಮಗೆ ಅನುಮತಿಸುತ್ತದೆ ಬಣ್ಣ ಲೇಬಲ್‌ಗಳ ಕುಶಲತೆಯ ಮೂಲಕ ಇತರ ಬಳಕೆದಾರರಿಗೆ ಪ್ರದರ್ಶಿಸಲಾದ ಪುಟಗಳಿಗೆ,

ಕ್ಲೈಂಟ್ ಬದಿಯಲ್ಲಿ ಬಲಿಪಶುಗಳ ಪರವಾಗಿ ಅನಿಯಂತ್ರಿತ ಕ್ರಿಯೆಗಳನ್ನು ಮಾಡಲು ದಾಳಿಕೋರರಿಗೆ ಅವಕಾಶ ಮಾಡಿಕೊಡುವ XSS ಸಂಗ್ರಹಣೆಗೆ ಕಾರಣವಾಗುವ ಲೇಬಲ್ ಬಣ್ಣದ ವೈಶಿಷ್ಟ್ಯವನ್ನು ಕಾನ್ಫಿಗರ್ ಮಾಡುವ ಮೂಲಕ ದುರ್ಬಲತೆಯನ್ನು ಬಳಸಿಕೊಳ್ಳಲು ಸಾಧ್ಯವಾಯಿತು. 

ಹೊಸ ಸರಣಿಯ ತಿದ್ದುಪಡಿಗಳೊಂದಿಗೆ ಪರಿಹರಿಸಲಾದ ದುರ್ಬಲತೆಗಳಲ್ಲಿ ಮತ್ತೊಂದು ಒಂದಾಗಿದೆ CVE-2022-2527, ಇದು ವಿವರಣೆ ಕ್ಷೇತ್ರದ ಮೂಲಕ ಅದರ ವಿಷಯವನ್ನು ಬದಲಿಸಲು ಸಾಧ್ಯವಾಗಿಸುತ್ತದೆ ಘಟನೆಯ ಪ್ರಮಾಣದ ಟೈಮ್‌ಲೈನ್‌ನಲ್ಲಿ). ಮಧ್ಯಮ ತೀವ್ರತೆಯ ದುರ್ಬಲತೆಗಳು ಪ್ರಾಥಮಿಕವಾಗಿ ಸೇವಾ ಸಾಮರ್ಥ್ಯದ ನಿರಾಕರಣೆಗೆ ಸಂಬಂಧಿಸಿವೆ.

GitLab CE/EE ನಲ್ಲಿನ ಸ್ನಿಪ್ಪೆಟ್ ವಿವರಣೆಯಲ್ಲಿನ ಉದ್ದದ ಮೌಲ್ಯೀಕರಣದ ಕೊರತೆಯು 15.1.6 ಕ್ಕಿಂತ ಹಿಂದಿನ ಎಲ್ಲಾ ಆವೃತ್ತಿಗಳ ಮೇಲೆ ಪರಿಣಾಮ ಬೀರುತ್ತದೆ, 15.2 ರಿಂದ 15.2.4 ರವರೆಗಿನ ಎಲ್ಲಾ ಆವೃತ್ತಿಗಳು, 15.3 ರಿಂದ 15.3.2 ರವರೆಗಿನ ಎಲ್ಲಾ ಆವೃತ್ತಿಗಳು ದುರುದ್ದೇಶಪೂರಿತವಾಗಿ ದೊಡ್ಡದಾದ ಸ್ನಿಪ್ ಅನ್ನು ರಚಿಸಲು ದೃಢೀಕೃತ ಆಕ್ರಮಣಕಾರರಿಗೆ ಅನುಮತಿಸುತ್ತದೆ ಅದು, ದೃಢೀಕರಣದೊಂದಿಗೆ ಅಥವಾ ಇಲ್ಲದೆ ವಿನಂತಿಸಿದಾಗ, ಸರ್ವರ್‌ನಲ್ಲಿ ಅತಿಯಾದ ಲೋಡ್ ಅನ್ನು ಉಂಟುಮಾಡುತ್ತದೆ, ಸಂಭಾವ್ಯವಾಗಿ ಸೇವೆಯ ನಿರಾಕರಣೆಗೆ ಕಾರಣವಾಗುತ್ತದೆ.

ಇತರ ದುರ್ಬಲತೆಗಳಲ್ಲಿ ಅದನ್ನು ಪರಿಹರಿಸಲಾಗಿದೆ:

  • ಗುಂಪಿನ IP ಅನುಮತಿ ಪಟ್ಟಿಯನ್ನು ಪ್ಯಾಕೆಟ್ ನೋಂದಾವಣೆ ಸಂಪೂರ್ಣವಾಗಿ ಗೌರವಿಸುವುದಿಲ್ಲ, IP ವಿಳಾಸ ನಿರ್ಬಂಧಗಳನ್ನು ಕಾನ್ಫಿಗರ್ ಮಾಡಿದಾಗ ಕೆಲವು ಪ್ಯಾಕೇಜ್ ರಿಜಿಸ್ಟ್ರಿಯ ವಿರುದ್ಧ GitLab ಸರಿಯಾಗಿ ದೃಢೀಕರಿಸುತ್ತಿಲ್ಲ, ಇದು ಈಗಾಗಲೇ ಮಾನ್ಯವಾದ ನಿಯೋಜನೆ ಟೋಕನ್ ಅನ್ನು ಹೊಂದಿರುವ ಆಕ್ರಮಣಕಾರರಿಗೆ ಯಾವುದೇ ಸ್ಥಳದಿಂದ ಅದನ್ನು ದುರುಪಯೋಗಪಡಿಸಿಕೊಳ್ಳಲು ಅವಕಾಶ ನೀಡುತ್ತದೆ.
  • Gitaly.GetTreeEntries ಕರೆಗಳನ್ನು ದುರುಪಯೋಗಪಡಿಸಿಕೊಳ್ಳುವುದು ಸೇವೆಯ ನಿರಾಕರಣೆಗೆ ಕಾರಣವಾಗುತ್ತದೆ, ದುರುದ್ದೇಶಪೂರಿತ ಯೋಜನೆಯನ್ನು ಆಮದು ಮಾಡಿಕೊಳ್ಳುವ ಮೂಲಕ ಸರ್ವರ್ ಸಂಪನ್ಮೂಲಗಳನ್ನು ಹೊರಹಾಕಲು ದೃಢೀಕೃತ ಮತ್ತು ಅಧಿಕೃತ ಬಳಕೆದಾರರಿಗೆ ಅವಕಾಶ ನೀಡುತ್ತದೆ.
  • ದುರುದ್ದೇಶಪೂರಿತ ಫಾರ್ಮ್ ಟ್ಯಾಗ್‌ಗಳೊಂದಿಗೆ .ipynb ನೋಟ್‌ಬುಕ್‌ನಲ್ಲಿ ಸಂಭವನೀಯ ಅನಿಯಂತ್ರಿತ HTTP ವಿನಂತಿಗಳು, ಇದು ಆಕ್ರಮಣಕಾರರಿಗೆ ಅನಿಯಂತ್ರಿತ HTTP ವಿನಂತಿಗಳನ್ನು ನೀಡಲು ಅನುಮತಿಸುತ್ತದೆ.
  • ರಚಿಸಲಾದ ಇನ್‌ಪುಟ್ ಮೂಲಕ ಸೇವೆಯ ನಿಯಮಿತ ಅಭಿವ್ಯಕ್ತಿ ನಿರಾಕರಣೆಯು ದೃಢೀಕರಿಸಿ ಸಂದೇಶ ಕ್ಷೇತ್ರಕ್ಕೆ ಸೇರಿಸಲಾದ ರಚಿಸಲಾದ ಇನ್‌ಪುಟ್ ಮೂಲಕ ಹೆಚ್ಚಿನ CPU ಬಳಕೆಯನ್ನು ಪ್ರಚೋದಿಸಲು ಆಕ್ರಮಣಕಾರರಿಗೆ ಅವಕಾಶ ಮಾಡಿಕೊಟ್ಟಿತು.
  • ಘಟನೆ ಟೈಮ್‌ಲೈನ್ ಈವೆಂಟ್‌ಗಳಲ್ಲಿ ಪ್ರತಿನಿಧಿಸುವ ಅನಿಯಂತ್ರಿತ GFM ಉಲ್ಲೇಖಗಳ ಮೂಲಕ ಮಾಹಿತಿ ಬಹಿರಂಗಪಡಿಸುವಿಕೆ
  • LivePreview ಕಾರ್ಯದ ಮೂಲಕ ರೆಪೊಸಿಟರಿ ವಿಷಯವನ್ನು ಓದಿ: ಪ್ರಾಜೆಕ್ಟ್ ಸದಸ್ಯರು ರಚಿಸಲಾದ ಲಿಂಕ್ ಅನ್ನು ಬಳಸಿದರೆ ಅನಧಿಕೃತ ಬಳಕೆದಾರರಿಗೆ ರೆಪೊಸಿಟರಿ ವಿಷಯವನ್ನು ಓದಲು ಸಾಧ್ಯವಿದೆ.
  • ಶಾಖೆಯನ್ನು ರಚಿಸುವಾಗ API ಮೂಲಕ ಸೇವೆಯ ನಿರಾಕರಣೆ: ಹೆಚ್ಚಿನ CPU ಬಳಕೆಯನ್ನು ಪ್ರಚೋದಿಸಲು ಶಾಖೆಯ ರಚನೆಯಲ್ಲಿ ಅಸಮರ್ಪಕ ಡೇಟಾ ನಿರ್ವಹಣೆಯನ್ನು ಬಳಸಬಹುದಾಗಿತ್ತು.
  • ಸಂಚಿಕೆ ಪೂರ್ವವೀಕ್ಷಣೆ ಮೂಲಕ ಸೇವೆಯ ನಿರಾಕರಣೆ

ಅಂತಿಮವಾಗಿ, ನೀವು ಇದರ ಬಗ್ಗೆ ಇನ್ನಷ್ಟು ತಿಳಿದುಕೊಳ್ಳಲು ಆಸಕ್ತಿ ಹೊಂದಿದ್ದರೆ, ನೀವು ವಿವರಗಳನ್ನು ಸಂಪರ್ಕಿಸಬಹುದು ಕೆಳಗಿನ ಲಿಂಕ್‌ನಲ್ಲಿ.


ನಿಮ್ಮ ಅಭಿಪ್ರಾಯವನ್ನು ಬಿಡಿ

ನಿಮ್ಮ ಈಮೇಲ್ ವಿಳಾಸ ಪ್ರಕಟವಾದ ಆಗುವುದಿಲ್ಲ. ಅಗತ್ಯವಿರುವ ಜಾಗ ಗುರುತಿಸಲಾಗಿದೆ *

*

*

  1. ಡೇಟಾಗೆ ಜವಾಬ್ದಾರಿ: ಮಿಗುಯೆಲ್ ಏಂಜೆಲ್ ಗಟಾನ್
  2. ಡೇಟಾದ ಉದ್ದೇಶ: ನಿಯಂತ್ರಣ SPAM, ಕಾಮೆಂಟ್ ನಿರ್ವಹಣೆ.
  3. ಕಾನೂನುಬದ್ಧತೆ: ನಿಮ್ಮ ಒಪ್ಪಿಗೆ
  4. ಡೇಟಾದ ಸಂವಹನ: ಕಾನೂನುಬದ್ಧ ಬಾಧ್ಯತೆಯನ್ನು ಹೊರತುಪಡಿಸಿ ಡೇಟಾವನ್ನು ಮೂರನೇ ವ್ಯಕ್ತಿಗಳಿಗೆ ಸಂವಹನ ಮಾಡಲಾಗುವುದಿಲ್ಲ.
  5. ಡೇಟಾ ಸಂಗ್ರಹಣೆ: ಆಕ್ಸೆಂಟಸ್ ನೆಟ್‌ವರ್ಕ್‌ಗಳು (ಇಯು) ಹೋಸ್ಟ್ ಮಾಡಿದ ಡೇಟಾಬೇಸ್
  6. ಹಕ್ಕುಗಳು: ಯಾವುದೇ ಸಮಯದಲ್ಲಿ ನೀವು ನಿಮ್ಮ ಮಾಹಿತಿಯನ್ನು ಮಿತಿಗೊಳಿಸಬಹುದು, ಮರುಪಡೆಯಬಹುದು ಮತ್ತು ಅಳಿಸಬಹುದು.