Критическая «дыра» в GitLab позволяет запускать пайплайны с привилегиями любых пользователей
Новости
Пользователям GitLab стоит обновить инструмент до последней версии, так как иначе они сильно рискуют столкнуться с неприятной дырой в своем CI/CD
458 открытий5К показов
В GitLab Community и Enterprise Edition обнаружена критическая брешь, позволяющая злоумышленникам запускать пайплайны с привилегиями любых пользователей.
Эта уязвимость получила номер CVE-2024-5655 и высокий уровень опасности с оценкой в 9.6 из 10.
Подробности уязвимости
GitLab — это популярная платформа для управления проектами и отслеживания задач, используемая для непрерывной интеграции и развертывания (CI/CD)
Уязвимость затрагивает все версии GitLab CE/EE с 15.8 по 16.11.4, 17.0.0 по 17.0.2 и 17.1.0.
Злоумышленники могут использовать «дыру» для запуска пайплайнов от имени других пользователей, что может привести к выполнению нежелательных действий и компрометации данных.
Рекомендации по обновлению
GitLab уже выпустил обновленные версии 17.1.1, 17.0.3 и 16.11.5, которые устраняют CVE-2024-5655. Пользователям же рекомендуется как можно скорее обновиться до последних версий, чтобы защитить свои системы.
В процессе обновления пользователи должны учитывать два изменения:
- Пайплайны больше не будут запускаться автоматически при изменении целевой ветки после слияния предыдущей. Пользователи должны вручную запускать пайплайны для выполнения CI.
- CI_JOB_TOKEN по умолчанию отключен для аутентификации GraphQL с версии 17.0.0. Для доступа к API GraphQL пользователи должны настроить один из поддерживаемых типов токенов для аутентификации.
Дополнительные уязвимости
Кроме CVE-2024-5655, обновление устраняет ещё 13 проблем безопасности, три из которых имеют высокий уровень:
- CVE-2024-4901: Уязвимость XSS, позволяющая внедрять скрипты через злонамеренные комментарии к коммитам, что может привести к несанкционированным действиям и утечке данных.
- CVE-2024-4994: Уязвимость CSRF в API GraphQL, позволяющая злоумышленникам выполнять произвольные мутации GraphQL, вводя пользователей в заблуждение и вызывая нежелательные запросы.
- CVE-2024-6323: Ошибка авторизации в глобальном поиске GitLab, позволяющая злоумышленникам просматривать результаты поиска в приватных репозиториях, что может привести к утечке информации и несанкционированному доступу к конфиденциальным данным.
Уже успели обновить GitLab?
Да, как раз накануне занялся этим
Да, как только прочитал новость
Нет, но надо бы
Не. У меня там проектик-то небольшой, так можно не переживать
458 открытий5К показов