Ang Gitlab ay naghihirap mula sa pangalawang isyu sa seguridad sa wala pang isang linggo
Wala pang isang linggo Kinailangan ng mga developer ng Gitlab na magtrabaho, Well, ilang araw na ang nakalipas ang mga corrective update para sa GitLab Collaborative Development Platform 15.3.1, 15.2.3 at 15.1.5 ay inilabas, na nagresolba sa isang kritikal na kahinaan.
nakalista sa ilalim CVE-2022-2884, maaaring payagan ng kahinaang ito ang isang napatotohanang user na may access sa GitHub Import API malayong magpatakbo ng code sa isang server. Wala pang mga detalye sa pagpapatakbo na inilabas. Ang kahinaan ay natukoy ng isang security researcher bilang bahagi ng vulnerability bounty program ng HackerOne.
Bilang solusyon, pinayuhan ang admin na huwag paganahin ang pag-import mula sa feature na GitHub (sa GitLab web interface: “Menu” -> “Admin” -> “Mga Setting” -> “General” -> “Visibility at access controls » -> «Mag-import ng mga mapagkukunan» -> huwag paganahin ang «GitHub»).
Pagkatapos noon at wala pang isang linggo GitLab Ini-publish ko ang susunod na serye ng mga corrective update para sa kanilang collaborative development platform: 15.3.2, 15.2.4, at 15.1.6, na nag-aayos ng pangalawang kritikal na kahinaan.
nakalista sa ilalim CVE-2022-2992, ang kahinaang ito ay nagbibigay-daan sa isang napatotohanang user na magsagawa ng code malayuan sa isang server. Tulad ng kahinaan ng CVE-2022-2884 na naayos noong isang linggo, mayroong bagong isyu sa API para sa pag-import ng data mula sa serbisyo ng GitHub. Ang kahinaan ay nagpapakita mismo, bukod sa iba pang mga bagay, sa mga release na 15.3.1, 15.2.3, at 15.1.5, kung saan naayos ang unang kahinaan sa import code mula sa GitHub.
Wala pang mga detalye sa pagpapatakbo na inilabas. Ang kahinaan ay isinumite sa GitLab bilang bahagi ng vulnerability bounty program ng HackerOne, ngunit hindi tulad ng nakaraang isyu, natukoy ito ng isa pang kontribyutor.
Bilang isang solusyon, inirerekomenda ng administrator na huwag paganahin ang pag-import mula sa feature ng GitHub (sa GitLab web interface: “Menu” -> “Admin” -> “Settings” -> “General” -> “Visibility and access controls » -> «Mag-import ng mga mapagkukunan» -> huwag paganahin ang «GitHub»).
Bukod dito, inaayos ng mga iminungkahing update ang 14 pang kahinaan, dalawa sa mga ito ay minarkahan bilang mapanganib, sampu ay may katamtamang antas ng kalubhaan at dalawa ay minarkahan bilang hindi mapanganib.
Ang mga sumusunod ay kinikilala bilang mapanganib: kahinaan CVE-2022-2865, na nagbibigay-daan sa iyong magdagdag ng sarili mong JavaScript code sa mga pahinang ipinapakita sa ibang mga user sa pamamagitan ng pagmamanipula ng mga label ng kulay,
Posibleng samantalahin ang isang kahinaan sa pamamagitan ng pag-configure ng tampok na kulay ng label na maaaring humantong sa nakaimbak na XSS na nagpapahintulot sa mga umaatake na magsagawa ng mga arbitrary na pagkilos sa ngalan ng mga biktima sa panig ng kliyente.
Isa pang isa sa mga kahinaan na nalutas sa bagong serye ng mga pagwawasto, ay ang CVE-2022-2527, na ginagawang posible na palitan ang nilalaman nito sa pamamagitan ng field ng paglalarawan sa Insidente scale timeline). Ang mga kahinaan sa katamtamang kalubhaan ay pangunahing nauugnay sa pagtanggi sa potensyal na serbisyo.
Kakulangan ng pagpapatunay ng haba sa mga paglalarawan ng Snippet sa GitLab CE/EE na nakakaapekto sa lahat ng bersyon bago ang 15.1.6, lahat ng bersyon mula 15.2 bago ang 15.2.4, lahat ng bersyon mula 15.3 bago ang 15.3.2 ay nagbibigay-daan sa isang authenticated attacker na lumikha ng isang malisyosong malaking snippet na, kapag hiniling na mayroon o walang pagpapatotoo, nagdudulot ng labis na pagkarga sa server, na posibleng humantong sa pagtanggi sa serbisyo.
Ng iba pang mga kahinaan na nalutas:
- Ang packet registry ay hindi ganap na pinarangalan ang IP allow list ng grupo, ang GitLab ay hindi wastong nagpapatotoo laban sa ilang Package Registry kapag ang mga paghihigpit sa IP address ay na-configure, na nagpapahintulot sa isang attacker na mayroon nang wastong deployment token ay maling gamitin ito mula sa anumang lokasyon.
- Ang pag-abuso sa mga tawag sa Gitaly.GetTreeEntries ay humahantong sa pagtanggi sa serbisyo, na nagbibigay-daan sa isang napatotohanan at awtorisadong user na maubos ang mga mapagkukunan ng server sa pamamagitan ng pag-import ng isang nakakahamak na proyekto.
- Mga posibleng arbitrary na kahilingan sa HTTP sa .ipynb Notebook na may mga malisyosong tag ng form, na nagbibigay-daan sa isang attacker na mag-isyu ng mga arbitrary na kahilingan sa HTTP.
- Ang regular na expression na pagtanggi sa serbisyo sa pamamagitan ng ginawang input ay nagbigay-daan sa isang attacker na mag-trigger ng mataas na paggamit ng CPU sa pamamagitan ng isang ginawang input na idinagdag sa field na Kumpirmahin ang mensahe.
- Pagbubunyag ng impormasyon sa pamamagitan ng mga arbitraryong sanggunian sa GFM na kinakatawan sa mga kaganapan sa timeline ng insidente
- Basahin ang nilalaman ng repositoryo sa pamamagitan ng LivePreview function: Posible para sa isang hindi awtorisadong gumagamit na basahin ang nilalaman ng repositoryo kung ang isang miyembro ng proyekto ay gumamit ng isang ginawang link.
- Pagtanggi ng Serbisyo sa pamamagitan ng API kapag gumagawa ng sangay: Maaaring ginamit ang hindi wastong pangangasiwa ng data sa paggawa ng sangay upang mag-trigger ng mataas na paggamit ng CPU.
- Pagtanggi ng serbisyo sa pamamagitan ng preview ng isyu
Panghuli, kung interesado kang malaman ang tungkol dito, maaari kang kumunsulta sa mga detalye Sa sumusunod na link.