Gitlab trpí druhým bezpečnostným problémom za menej ako týždeň
Za menej ako týždeň Vývojári Gitlabu sa museli pustiť do práce, Pred niekoľkými dňami boli vydané opravné aktualizácie pre platformu GitLab Collaborative Development Platform 15.3.1, 15.2.3 a 15.1.5, ktoré vyriešili kritickú zraniteľnosť.
uvedené pod CVE-2022-2884, táto chyba zabezpečenia by mohla umožniť overenému používateľovi prístup k GitHub Import API vzdialene spustiť kód na serveri. Zatiaľ neboli zverejnené žiadne prevádzkové podrobnosti. Zraniteľnosť bola identifikovaná bezpečnostným výskumníkom ako súčasť programu odmeny za zraniteľnosť spoločnosti HackerOne.
Ako riešenie bolo správcovi odporúčané zakázať import z funkcie GitHub (vo webovom rozhraní GitLab: „Menu“ -> „Správca“ -> „Nastavenia“ -> „Všeobecné“ -> „Ovládanie viditeľnosti a prístupu » -> «Importovať zdroje» -> vypnúť «GitHub»).
Potom a za menej ako týždeň GitLab Zverejňujem ďalšiu sériu opravných aktualizácií pre ich platformu spoločného vývoja: 15.3.2, 15.2.4 a 15.1.6, ktorá opravuje druhú kritickú zraniteľnosť.
uvedené pod CVE-2022-2992, táto chyba zabezpečenia umožňuje overenému používateľovi spustiť kód vzdialene na serveri. Rovnako ako chyba zabezpečenia CVE-2022-2884, ktorá bola opravená pred týždňom, existuje nový problém s rozhraním API pre import údajov zo služby GitHub. Zraniteľnosť sa prejavuje okrem iného vo vydaniach 15.3.1, 15.2.3 a 15.1.5, v ktorých bola opravená prvá zraniteľnosť v importnom kóde z GitHubu.
Zatiaľ neboli zverejnené žiadne prevádzkové podrobnosti. Zraniteľnosť bola odoslaná do GitLab ako súčasť programu odmeňovania zraniteľnosti spoločnosti HackerOne, ale na rozdiel od predchádzajúceho problému ju identifikoval iný prispievateľ.
Ako riešenie sa správcovi odporúča zakázať import z funkcie GitHub (vo webovom rozhraní GitLab: „Menu“ -> „Správca“ -> „Nastavenia“ -> „Všeobecné“ -> „Ovládanie viditeľnosti a prístupu » -> «Importovať zdroje» -> vypnúť «GitHub»).
Okrem toho, navrhované aktualizácie opravujú 14 ďalších zraniteľností, z ktorých dve sú označené ako nebezpečné, desať má stredný stupeň závažnosti a dve sú označené ako nie nebezpečné.
Nasledujúce sú považované za nebezpečné: zraniteľnosť CVE-2022-2865, ktorý vám umožňuje pridať vlastný kód JavaScript na stránky zobrazované ostatným používateľom manipuláciou s farebnými štítkami,
Zraniteľnosť bolo možné zneužiť konfiguráciou funkcie farby štítkov, ktorá by mohla viesť k uloženiu XSS, ktoré útočníkom umožnilo vykonávať ľubovoľné akcie v mene obetí na strane klienta.
Ďalšou zo zraniteľností, ktorá bola vyriešená novou sériou opráv, je CVE-2022-2527, čo umožňuje nahradiť jeho obsah prostredníctvom poľa popisu na časovej osi Incidentovej stupnice). Stredne závažné zraniteľnosti súvisia predovšetkým s odmietnutím servisného potenciálu.
Nedostatok overenia dĺžky popisov úryvkov v GitLab CE/EE ovplyvňujúci všetky verzie pred 15.1.6, všetky verzie od 15.2 pred 15.2.4, všetky verzie od 15.3 pred 15.3.2 umožňuje overenému útočníkovi vytvoriť zlomyseľne veľký úryvok to, ak sa požaduje s overením alebo bez neho, spôsobí nadmerné zaťaženie servera, čo môže viesť k odmietnutiu služby.
Z ostatných zraniteľností ktoré boli vyriešené:
- Register paketov plne nerešpektuje zoznam povolených IP adries skupiny, GitLab sa správne neoveroval voči niektorému registru balíkov, keď boli nakonfigurované obmedzenia adresy IP, čo umožnilo útočníkovi, ktorý už vlastnil platný token nasadenia, ho zneužiť z akéhokoľvek miesta.
- Zneužitie volaní Gitaly.GetTreeEntries vedie k odmietnutiu služby, čo umožňuje overenému a autorizovanému používateľovi vyčerpať zdroje servera importovaním škodlivého projektu.
- Možné svojvoľné HTTP požiadavky v .ipynb Notebooku so škodlivými značkami formulárov, čo útočníkovi umožňuje zadávať ľubovoľné HTTP požiadavky.
- Odmietnutie služby pomocou regulárneho výrazu prostredníctvom vytvoreného vstupu umožnilo útočníkovi spustiť vysoké využitie CPU prostredníctvom vytvoreného vstupu pridaného do poľa Potvrdiť správu.
- Sprístupnenie informácií prostredníctvom ľubovoľných odkazov GFM zastúpených v udalostiach časovej osi incidentu
- Čítanie obsahu úložiska prostredníctvom funkcie LivePreview: Neautorizovaný používateľ mohol čítať obsah úložiska, ak člen projektu použil vytvorený odkaz.
- Odmietnutie služby cez API pri vytváraní vetvy: Nesprávna manipulácia s údajmi pri vytváraní vetvy mohla byť použitá na spustenie vysokého využitia CPU.
- Odmietnutie služby prostredníctvom ukážky vydania
Nakoniec, ak máte záujem dozvedieť sa o tom viac, môžete sa obrátiť na podrobnosti Na nasledujúcom odkaze.