Менее чем через неделю Разработчикам Gitlab пришлось взяться за работу, Итак, несколько дней назад вышли корректирующие обновления для GitLab Collaborative Development Platform 15.3.1, 15.2.3 и 15.1.5, которые устранили критическую уязвимость.
перечислены под CVE-2022-2884, эта уязвимость может позволить аутентифицированному пользователю получить доступ к GitHub Import API. удаленно запускать код на сервере. Оперативные подробности пока не разглашаются. Уязвимость была обнаружена исследователем безопасности в рамках программы вознаграждения за уязвимости HackerOne.
В качестве обходного пути администратору было рекомендовано отключить функцию импорта из GitHub (в веб-интерфейсе GitLab: «Меню» -> «Администратор» -> «Настройки» -> «Общие» -> «Видимость и управление доступом» -> «Импорт исходников» -> отключить «GitHub»).
После этого и менее чем через неделю GitLab Публикую очередную серию корректирующих обновлений для их совместной платформы разработки: 15.3.2, 15.2.4 и 15.1.6, в которых исправлена вторая критическая уязвимость.
перечислены под CVE-2022-2992, эта уязвимость позволяет аутентифицированному пользователю выполнять код удаленно на сервере. Как и уязвимость CVE-2022-2884, которая была исправлена неделю назад, существует новая проблема с API для импорта данных из сервиса GitHub. Уязвимость проявляется в том числе в релизах 15.3.1, 15.2.3 и 15.1.5, в которых была исправлена первая уязвимость в коде импорта с GitHub.
Оперативные подробности пока не разглашаются. Уязвимость была отправлена в GitLab в рамках программы вознаграждения за уязвимости HackerOne, но, в отличие от предыдущей проблемы, она была обнаружена другим участником.
В качестве обходного пути администратору рекомендуется отключить функцию импорта из GitHub (в веб-интерфейсе GitLab: «Меню» -> «Администратор» -> «Настройки» -> «Общие» -> «Видимость и управление доступом» -> «Импорт исходников» -> отключить «GitHub»).
Кроме того, предлагаемые обновления исправляют еще 14 уязвимостей, два из которых помечены как опасные, десять имеют средний уровень серьезности и два помечены как неопасные.
Опасными признаны: уязвимость CVE-2022-2865, позволяющая добавлять собственный код JavaScript. на страницы, отображаемые другим пользователям, посредством манипулирования цветовыми метками,
Уязвимость можно было использовать, настроив функцию цвета метки, которая могла привести к хранимому XSS, который позволял злоумышленникам выполнять произвольные действия от имени жертв на стороне клиента.
Еще одна из уязвимостей, которая была устранена с помощью новой серии исправлений, — CVE-2022-2527, позволяющая подменять его содержимое через поле описания на временной шкале шкалы инцидентов). Уязвимости средней степени серьезности в первую очередь связаны с отказом в обслуживании.
Отсутствие проверки длины описаний сниппетов в GitLab CE/EE, затрагивающее все версии до 15.1.6, все версии от 15.2 до 15.2.4, все версии от 15.3 до 15.3.2, позволяет злоумышленнику, прошедшему проверку подлинности, создать злонамеренно большой сниппет. который при запросе с аутентификацией или без нее вызывает чрезмерную нагрузку на сервер, что может привести к отказу в обслуживании.
Из других уязвимостей которые были решены:
- Реестр пакетов не полностью учитывает список разрешенных IP-адресов группы, GitLab неправильно аутентифицируется в некоторых реестрах пакетов при настройке ограничений IP-адресов, что позволяет злоумышленнику, у которого уже есть действительный токен развертывания, использовать его не по назначению из любого места.
- Злоупотребление вызовами Gitaly.GetTreeEntries приводит к отказу в обслуживании, позволяя аутентифицированному и авторизованному пользователю исчерпать ресурсы сервера, импортировав вредоносный проект.
- Возможны произвольные HTTP-запросы в блокноте .ipynb с вредоносными тегами формы, что позволяет злоумышленнику выполнять произвольные HTTP-запросы.
- Отказ в обслуживании с помощью регулярного выражения с помощью созданного ввода позволил злоумышленнику вызвать высокую загрузку ЦП с помощью созданного ввода, добавленного в поле сообщения «Подтверждение».
- Раскрытие информации через произвольные ссылки GFM, представленные в событиях временной шкалы инцидентов
- Чтение содержимого репозитория с помощью функции LivePreview: неавторизованный пользователь мог прочитать содержимое репозитория, если участник проекта использовал созданную ссылку.
- Отказ в обслуживании через API при создании ветки: неправильная обработка данных при создании ветки могла привести к высокой загрузке ЦП.
- Отказ в обслуживании через предварительный просмотр проблемы
Наконец, если вам интересно узнать об этом больше, вы можете ознакомиться с подробностями По следующей ссылке.