Gitlab trpi zaradi druge varnostne težave v manj kot enem tednu
V manj kot tednu dni Razvijalci Gitlaba so se morali lotiti dela, No, pred nekaj dnevi so bile izdane korektivne posodobitve za GitLab Collaborative Development Platform 15.3.1, 15.2.3 in 15.1.5, ki so odpravile kritično ranljivost.
naveden pod CVE-2022-2884, ta ranljivost lahko preverjenemu uporabniku omogoči dostop do GitHub Import API oddaljeno izvajanje kode na strežniku. Operativne podrobnosti še niso bile objavljene. Ranljivost je odkril varnostni raziskovalec kot del HackerOneovega programa nagrade za ranljivost.
Kot rešitev so skrbniku svetovali, naj onemogoči uvoz iz funkcije GitHub (v spletnem vmesniku GitLab: »Meni« -> »Skrbnik« -> »Nastavitve« -> »Splošno« -> »Vidnost in nadzor dostopa » -> «Uvozi vire» -> onemogoči «GitHub»).
Po tem in v manj kot tednu dni GitLab Objavljam naslednjo serijo popravnih posodobitev za njihovo platformo za sodelovalni razvoj: 15.3.2, 15.2.4 in 15.1.6, ki odpravlja drugo kritično ranljivost.
naveden pod CVE-2022-2992, ta ranljivost omogoča overjenemu uporabniku izvajanje kode na daljavo na strežniku. Tako kot ranljivost CVE-2022-2884, ki je bila odpravljena pred tednom dni, obstaja nova težava API-ja za uvoz podatkov iz storitve GitHub. Ranljivost se med drugim kaže v izdajah 15.3.1, 15.2.3 in 15.1.5, v katerih je bila odpravljena prva ranljivost v uvozni kodi iz GitHub.
Operativne podrobnosti še niso bile objavljene. Ranljivost je bila predložena GitLabu kot del HackerOneovega programa nagrad za ranljivost, vendar jo je za razliko od prejšnje izdaje identificiral drug sodelavec.
Kot rešitev priporočamo, da skrbnik onemogoči uvoz iz funkcije GitHub (v spletnem vmesniku GitLab: »Meni« -> »Skrbnik« -> »Nastavitve« -> »Splošno« -> »Vidnost in nadzor dostopa » -> «Uvozi vire» -> onemogoči «GitHub»).
Poleg tega, predlagane posodobitve odpravljajo še 14 ranljivosti, od tega sta dve označeni kot nevarni, deset jih ima srednjo stopnjo resnosti, dve pa sta označeni kot nenevarni.
Kot nevarne so prepoznane naslednje: ranljivost CVE-2022-2865, ki vam omogoča dodajanje lastne kode JavaScript na strani, prikazane drugim uporabnikom z manipulacijo barvnih oznak,
Ranljivost je bilo mogoče izkoristiti s konfiguracijo funkcije barve oznake, ki je lahko vodila do shranjenega XSS, ki je napadalcem omogočil izvajanje poljubnih dejanj v imenu žrtev na strani odjemalca.
Še ena od ranljivosti, ki je bila odpravljena z novo serijo popravkov, je CVE-2022-2527, ki omogoča zamenjavo njegove vsebine prek polja za opis na časovni premici lestvice incidentov). Ranljivosti srednje resnosti so predvsem povezane s potencialom zavrnitve storitve.
Pomanjkanje preverjanja dolžine opisov izrezkov v GitLab CE/EE, ki vpliva na vse različice pred 15.1.6, vse različice od 15.2 pred 15.2.4, vse različice od 15.3 pred 15.3.2, omogoča preverjenemu napadalcu, da ustvari zlonamerno velik izrezek ki na zahtevo z ali brez preverjanja pristnosti povzroči prekomerno obremenitev strežnika, kar lahko vodi do zavrnitve storitve.
Od ostalih ranljivosti ki so bile rešene:
- Register paketov ne spoštuje v celoti dovoljenega seznama IP skupine, GitLab ni pravilno preverjal pristnosti nekaterih registrov paketov, ko so bile konfigurirane omejitve naslovov IP, kar je napadalcu, ki je že imel veljaven žeton za uvedbo, omogočilo, da ga zlorabi s katere koli lokacije.
- Zloraba klicev Gitaly.GetTreeEntries vodi do zavrnitve storitve, kar preverjenemu in pooblaščenemu uporabniku omogoča, da izčrpa vire strežnika z uvozom zlonamernega projekta.
- Možne poljubne zahteve HTTP v beležnici .ipynb z zlonamernimi oznakami obrazcev, ki napadalcu omogočajo izdajanje poljubnih zahtev HTTP.
- Zavrnitev storitve regularnega izraza prek izdelanega vnosa je napadalcu omogočila, da sproži visoko obremenitev procesorja prek izdelanega vnosa, dodanega v polje Potrdi sporočilo.
- Razkritje informacij prek poljubnih referenc GFM, predstavljenih v dogodkih časovne osi incidentov
- Branje vsebine repozitorija prek funkcije LivePreview: Nepooblaščeni uporabnik je lahko prebral vsebino repozitorija, če je član projekta uporabil izdelano povezavo.
- Zavrnitev storitve prek API-ja pri ustvarjanju veje: neustrezno ravnanje s podatki pri ustvarjanju veje bi lahko povzročilo visoko obremenitev procesorja.
- Zavrnitev storitve prek predogleda težave
Nazadnje, če vas zanima več o tem, se lahko posvetujete s podrobnostmi V naslednji povezavi.