Een tweede kritieke kwetsbaarheid werd in minder dan een week in GitLab onthuld

Darkcrizt

4 minuten

Gitlab

Gitlab heeft in minder dan een week last van een tweede beveiligingsprobleem

Over minder dan een week Gitlab-ontwikkelaars moesten aan de slag, Welnu, een paar dagen geleden zijn de corrigerende updates voor GitLab Collaborative Development Platform 15.3.1, 15.2.3 en 15.1.5 uitgebracht, waarmee een kritieke kwetsbaarheid is opgelost.

vermeld onder CVE-2022-2884, kan door dit beveiligingslek een geverifieerde gebruiker toegang krijgen tot de GitHub Import API op afstand code uitvoeren op een server. Er zijn nog geen operationele details vrijgegeven. Het beveiligingslek werd door een beveiligingsonderzoeker geïdentificeerd als onderdeel van HackerOne's kwetsbaarheidsprogramma.

Als tijdelijke oplossing werd de beheerder geadviseerd om het importeren van de GitHub-functie uit te schakelen (in de GitLab-webinterface: "Menu" -> "Beheerder" -> "Instellingen" -> "Algemeen" -> "Zichtbaarheid en toegangscontrole » -> «Bronnen importeren» -> schakel «GitHub» uit).

Daarna en in minder dan een week GitLab Ik publiceer de volgende reeks corrigerende updates voor hun gezamenlijke ontwikkelingsplatform: 15.3.2, 15.2.4 en 15.1.6, dat de tweede kritieke kwetsbaarheid verhelpt.

vermeld onder CVE-2022-2992, dit beveiligingslek stelt een geverifieerde gebruiker in staat om code uit te voeren op afstand op een server. Net als de kwetsbaarheid CVE-2022-2884 die een week geleden werd opgelost, is er een nieuw API-probleem voor het importeren van gegevens uit de GitHub-service. De kwetsbaarheid manifesteert zich onder meer in releases 15.3.1, 15.2.3 en 15.1.5, waarin de eerste kwetsbaarheid in de importcode van GitHub is verholpen.

Er zijn nog geen operationele details vrijgegeven. De kwetsbaarheid is ingediend bij GitLab als onderdeel van HackerOne's kwetsbaarheidspremieprogramma, maar in tegenstelling tot de vorige uitgave, werd deze door een andere bijdrager geïdentificeerd.

Als tijdelijke oplossing wordt de beheerder aanbevolen om het importeren van de GitHub-functie uit te schakelen (in de GitLab-webinterface: "Menu" -> "Beheerder" -> "Instellingen" -> "Algemeen" -> "Zichtbaarheid en toegangscontrole » -> «Bronnen importeren» -> schakel «GitHub» uit).

Bovendien heeft voorgestelde updates repareren nog 14 kwetsbaarheden, waarvan er twee zijn gemarkeerd als gevaarlijk, tien hebben een gemiddelde ernstgraad en twee zijn gemarkeerd als niet gevaarlijk.

De volgende worden als gevaarlijk erkend: kwetsbaarheid CVE-2022-2865, waarmee u uw eigen JavaScript-code kunt toevoegen naar de pagina's die aan andere gebruikers worden getoond door de manipulatie van kleurlabels,

Het was mogelijk om misbruik te maken van een kwetsbaarheid door de labelkleurfunctie te configureren die zou kunnen leiden tot opgeslagen XSS waarmee aanvallers willekeurige acties konden uitvoeren namens slachtoffers aan de clientzijde. 

Een andere kwetsbaarheid die is opgelost met de nieuwe reeks correcties, is de CVE-2022-2527, wat het mogelijk maakt om de inhoud te vervangen via het beschrijvingsveld op de tijdlijn van de incidentschaal). Kwetsbaarheden van gemiddelde ernst houden voornamelijk verband met denial of service-potentieel.

Gebrek aan lengtevalidatie van snippetbeschrijvingen in GitLab CE/EE die van invloed zijn op alle versies vóór 15.1.6, alle versies van 15.2 vóór 15.2.4, alle versies van 15.3 vóór 15.3.2 stelt een geverifieerde aanvaller in staat een kwaadwillig groot fragment te maken die, indien gevraagd met of zonder authenticatie, een overmatige belasting van de server veroorzaakt, wat mogelijk kan leiden tot een denial of service.

Van de andere kwetsbaarheden die zijn opgelost:

  • Het pakketregister voldoet niet volledig aan de IP-toelatingslijst van de groep, GitLab authenticeerde niet correct tegen een pakketregister toen IP-adresbeperkingen werden geconfigureerd, waardoor een aanvaller die al over een geldige implementatietoken beschikte het vanaf elke locatie kan misbruiken.
  • Het misbruiken van Gitaly.GetTreeEntries-aanroepen leidt tot een denial of service, waardoor een geverifieerde en geautoriseerde gebruiker serverbronnen kan uitputten door een kwaadaardig project te importeren.
  • Mogelijke willekeurige HTTP-verzoeken in .ipynb Notebook met kwaadaardige formuliertags, waarmee een aanvaller willekeurige HTTP-verzoeken kan uitgeven.
  • Denial-of-service voor reguliere expressies via bewerkte invoer stelde een aanvaller in staat om hoog CPU-gebruik te activeren via een bewerkte invoer die is toegevoegd aan het veld Bericht bevestigen.
  • Openbaarmaking van informatie via willekeurige GFM-referenties die worden weergegeven in gebeurtenissen op de tijdlijn van incidenten
  • Repository-inhoud lezen via LivePreview-functie: het was mogelijk voor een onbevoegde gebruiker om repository-inhoud te lezen als een projectlid een vervaardigde link gebruikte.
  • Denial of Service via API bij het maken van een vertakking: Onjuiste gegevensverwerking bij het maken van vertakkingen kan zijn gebruikt om een ​​hoog CPU-gebruik te veroorzaken.
  • Denial of service via probleemvoorbeeld

Ten slotte, als u geïnteresseerd bent om er meer over te weten, kunt u de details raadplegen In de volgende link.


Laat je reactie achter

Uw e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *

*

*

  1. Verantwoordelijk voor de gegevens: Miguel Ángel Gatón
  2. Doel van de gegevens: Controle SPAM, commentaarbeheer.
  3. Legitimatie: uw toestemming
  4. Mededeling van de gegevens: De gegevens worden niet aan derden meegedeeld, behalve op grond van wettelijke verplichting.
  5. Gegevensopslag: database gehost door Occentus Networks (EU)
  6. Rechten: u kunt uw gegevens op elk moment beperken, herstellen en verwijderen.