ช่องโหว่ที่สำคัญที่สองถูกเปิดเผยใน GitLab ในเวลาน้อยกว่าหนึ่งสัปดาห์

ภายในเวลาไม่ถึงสัปดาห์ นักพัฒนา Gitlab ต้องลงไปทำงาน เมื่อไม่กี่วันก่อนมีการเผยแพร่การอัปเดตแก้ไขสำหรับ GitLab Collaborative Development Platform 15.3.1, 15.2.3 และ 15.1.5 ซึ่งแก้ไขช่องโหว่ที่สำคัญ

อยู่ภายใต้ CVE-2022-2884 ช่องโหว่นี้อาจอนุญาตให้ผู้ใช้ที่ผ่านการตรวจสอบสิทธิ์เข้าถึง GitHub Import API เรียกใช้โค้ดจากระยะไกลบนเซิร์ฟเวอร์ ยังไม่มีการเปิดเผยรายละเอียดการดำเนินงาน นักวิจัยด้านความปลอดภัยระบุช่องโหว่นี้ว่าเป็นส่วนหนึ่งของโปรแกรมหาเงินรางวัลจากช่องโหว่ของ HackerOne

เพื่อเป็นการแก้ปัญหาชั่วคราว ผู้ดูแลระบบควรปิดการใช้งานการนำเข้าจากคุณสมบัติ GitHub (ในเว็บอินเตอร์เฟส GitLab: “เมนู” -> “ผู้ดูแลระบบ” -> “การตั้งค่า” -> “ทั่วไป” -> “การมองเห็นและการควบคุมการเข้าถึง » -> «นำเข้าแหล่งที่มา» -> ปิดการใช้งาน «GitHub»).

หลังจากนั้นและภายในเวลาไม่ถึงสัปดาห์ GitLab ฉันเผยแพร่การปรับปรุงแก้ไขชุดถัดไป สำหรับแพลตฟอร์มการพัฒนาร่วมกัน: 15.3.2, 15.2.4 และ 15.1.6 ซึ่งแก้ไขช่องโหว่ที่สำคัญอันดับสอง

อยู่ภายใต้ CVE-2022-2992 ช่องโหว่นี้ทำให้ผู้ใช้ที่ตรวจสอบสิทธิ์สามารถรันโค้ดได้ จากระยะไกลบนเซิร์ฟเวอร์ เช่นเดียวกับช่องโหว่ CVE-2022-2884 ที่แก้ไขเมื่อสัปดาห์ที่แล้ว มีปัญหา API ใหม่สำหรับการนำเข้าข้อมูลจากบริการ GitHub ช่องโหว่ดังกล่าวปรากฏในรุ่น 15.3.1, 15.2.3 และ 15.1.5 ซึ่งช่องโหว่แรกในรหัสนำเข้าจาก GitHub ได้รับการแก้ไขแล้ว

ยังไม่มีการเปิดเผยรายละเอียดการดำเนินงาน ช่องโหว่ดังกล่าวถูกส่งไปยัง GitLab โดยเป็นส่วนหนึ่งของโปรแกรมหาค่าหัวช่องโหว่ของ HackerOne แต่ไม่เหมือนกับปัญหาก่อนหน้านี้ มันถูกระบุโดยผู้ร่วมให้ข้อมูลรายอื่น

เพื่อเป็นการแก้ปัญหาชั่วคราว ขอแนะนำให้ผู้ดูแลระบบปิดใช้งานการนำเข้าจากคุณลักษณะ GitHub (ในเว็บอินเทอร์เฟซ GitLab: "เมนู" -> "ผู้ดูแลระบบ" -> "การตั้งค่า" -> "ทั่วไป" -> "การควบคุมการมองเห็นและการเข้าถึง » -> «นำเข้าแหล่งที่มา» -> ปิดการใช้งาน «GitHub»).

นอกจากนี้ การอัปเดตที่เสนอแก้ไขช่องโหว่อีก 14 รายการโดยสองรายการมีสถานะเป็นอันตราย สิบรายการมีระดับความรุนแรงปานกลางและอีกสองรายการระบุว่าไม่เป็นอันตราย

สิ่งต่อไปนี้ถือเป็นอันตราย: ช่องโหว่ CVE-2022-2865 ซึ่งช่วยให้คุณสามารถเพิ่มโค้ด JavaScript ของคุณเองได้ ไปยังหน้าที่แสดงต่อผู้ใช้รายอื่นผ่านการปรับแต่งฉลากสี

เป็นไปได้ที่จะใช้ประโยชน์จากช่องโหว่โดยการกำหนดค่าคุณลักษณะสีของป้ายกำกับที่อาจนำไปสู่การจัดเก็บ XSS ที่อนุญาตให้ผู้โจมตีดำเนินการตามอำเภอใจในนามของผู้ที่ตกเป็นเหยื่อในฝั่งไคลเอ็นต์ 

ช่องโหว่อีกประการหนึ่งที่ได้รับการแก้ไขด้วยการแก้ไขชุดใหม่คือ CVE-2022-2527 ซึ่งทำให้สามารถเปลี่ยนเนื้อหาผ่านช่องคำอธิบายได้ บนไทม์ไลน์มาตราส่วนเหตุการณ์) ช่องโหว่ที่มีความรุนแรงปานกลางนั้นเกี่ยวข้องกับการปฏิเสธศักยภาพในการให้บริการเป็นหลัก

ขาดการตรวจสอบความยาวในคำอธิบาย Snippet ใน GitLab CE/EE ที่ส่งผลกระทบต่อทุกเวอร์ชันก่อน 15.1.6 ทุกเวอร์ชันตั้งแต่ 15.2 ก่อน 15.2.4 เวอร์ชันทั้งหมดตั้งแต่ 15.3 ก่อน 15.3.2 อนุญาตให้ผู้โจมตีตรวจสอบสิทธิ์สร้างข้อมูลโค้ดขนาดใหญ่ที่ประสงค์ร้าย เมื่อมีการร้องขอโดยมีหรือไม่มีการรับรองความถูกต้อง ทำให้เกิดการโหลดบนเซิร์ฟเวอร์มากเกินไป ซึ่งอาจนำไปสู่การปฏิเสธบริการ

ช่องโหว่อื่นๆ ที่ได้รับการแก้ไข:

• แพ็กเก็ตรีจีสทรีไม่ได้ปฏิบัติตามรายการอนุญาต IP ของกลุ่มอย่างเต็มที่ GitLab ไม่ได้ตรวจสอบความถูกต้องกับ Registry แพ็คเกจบางตัวอย่างถูกต้องเมื่อมีการกำหนดค่าการจำกัดที่อยู่ IP ทำให้ผู้โจมตีที่มีโทเค็นการปรับใช้ที่ถูกต้องอยู่แล้วจะนำไปใช้ในทางที่ผิดจากที่ใดก็ได้
• การใช้ Gitaly.GetTreeEntries ในทางที่ผิดนำไปสู่การปฏิเสธบริการ อนุญาตให้ผู้ใช้ที่ตรวจสอบสิทธิ์และได้รับอนุญาตใช้ทรัพยากรเซิร์ฟเวอร์หมดโดยการนำเข้าโครงการที่เป็นอันตราย
• คำขอ HTTP โดยอำเภอใจที่เป็นไปได้ใน .ipynb Notebook ที่มีแท็กรูปแบบที่เป็นอันตราย ซึ่งช่วยให้ผู้โจมตีสามารถออกคำขอ HTTP โดยอำเภอใจได้
• การปฏิเสธนิพจน์ทั่วไปของบริการผ่านอินพุตที่สร้างขึ้นมาทำให้ผู้โจมตีสามารถเรียกใช้การใช้งาน CPU สูงผ่านอินพุตที่สร้างขึ้นมาซึ่งเพิ่มลงในฟิลด์ข้อความยืนยัน
• การเปิดเผยข้อมูลผ่านการอ้างอิง GFM โดยพลการที่แสดงในเหตุการณ์ไทม์ไลน์ของเหตุการณ์
• อ่านเนื้อหาที่เก็บผ่านฟังก์ชัน LivePreview: เป็นไปได้สำหรับผู้ใช้ที่ไม่ได้รับอนุญาตเพื่ออ่านเนื้อหาที่เก็บหากสมาชิกโครงการใช้ลิงก์ที่สร้างขึ้น
• การปฏิเสธบริการผ่าน API เมื่อสร้างสาขา: การจัดการข้อมูลที่ไม่เหมาะสมในการสร้างสาขาอาจถูกใช้เพื่อทริกเกอร์การใช้งาน CPU สูง
• การปฏิเสธการให้บริการผ่านการแสดงตัวอย่างปัญหา

สุดท้ายนี้ หากคุณสนใจที่จะทราบข้อมูลเพิ่มเติม สามารถปรึกษารายละเอียดได้ ในลิงค์ต่อไปนี้.