গিটল্যাবে একটি দুর্বলতা সংশোধন করা হয়েছে যা রানার টোকেনগুলিতে অ্যাক্সেসের অনুমতি দেয়

বেশ কয়েকদিন আগে GitLab একটি ব্লগ পোস্টের মাধ্যমে উন্মোচন করা হয়েছিল যে গবেষকরা প্রকাশ করেছেন একটি দুর্বলতার বিবরণ নিরাপত্তা এখন GitLab-এ প্যাচ করা হয়েছে, একটি ওপেন সোর্স DevOps সফ্টওয়্যার, যা একটি অননুমোদিত দূরবর্তী আক্রমণকারীকে ব্যবহারকারী-সম্পর্কিত তথ্য পুনরুদ্ধার করার অনুমতি দিতে পারে।

প্রধান দুর্বলতা, যা ইতিমধ্যে CVE-2021-4191 হিসাবে নিবন্ধিত, এটি মাঝারি তীব্রতার ত্রুটির জন্য দায়ী যা 13.0 থেকে গিটল্যাব কমিউনিটি সংস্করণ এবং এন্টারপ্রাইজ সংস্করণের সমস্ত সংস্করণ এবং 14.4 এবং 14.8 এর আগের সমস্ত সংস্করণকে প্রভাবিত করে৷

এটি ছিল Rapid7-এর একজন সিনিয়র নিরাপত্তা গবেষক জ্যাক বেইনস, যিনি ত্রুটিটি আবিষ্কার এবং রিপোর্ট করার জন্য কৃতিত্বপ্রাপ্ত, যিনি 18 নভেম্বর, 2021-এ দায়িত্বশীল প্রকাশের পরে, গিটল্যাব 14.8.2, 14.7.4 থেকে সমালোচনামূলক নিরাপত্তা প্রকাশের অংশ হিসাবে সংশোধনগুলি প্রকাশ করেছিলেন। 14.6.5 এবং XNUMX যা একটি অননুমোদিত ব্যবহারকারীকে গিটল্যাব রানারে নিবন্ধন টোকেন খনির অনুমতি দিতে পারে, যা একটি অবিচ্ছিন্ন ইন্টিগ্রেশন সিস্টেমে প্রকল্প কোড তৈরি করার সময় কল হ্যান্ডলারদের সংগঠিত করতে ব্যবহৃত হয়।

"নির্দিষ্ট কিছু গিটল্যাব গ্রাফকিউএল এপিআই অনুরোধগুলি কার্যকর করার সময় একটি অনুপস্থিত প্রমাণীকরণ চেকের ফলে দুর্বলতা," বেইনস বলেছেন। বৃহস্পতিবার প্রকাশিত এক প্রতিবেদনে উল্লেখ করা হয়েছে। "একটি অননুমোদিত দূরবর্তী আক্রমণকারী গিটল্যাবের নিবন্ধিত ব্যবহারকারীর নাম, নাম এবং ইমেল ঠিকানা সংগ্রহ করতে এই দুর্বলতা ব্যবহার করতে পারে।"

অতিরিক্তভাবে, এটি উল্লেখ করা হয়েছে যে আপনি যদি কুবারনেটস এক্সিকিউটর ব্যবহার করেন তবে আপনাকে অবশ্যই হেলম চার্টের মানগুলি ম্যানুয়ালি আপডেট করতে হবে। নতুন নিবন্ধন টোকেন সহ।

এবং এটি স্ব-পরিচালিত দৃষ্টান্তগুলির জন্য যা 14.6 বা পরবর্তী সংস্করণে নেই, গিটল্যাব রয়েছে পোস্ট প্যাচ যেটি দুর্বলতার মাধ্যমে রানার রেজিস্ট্রেশন টোকেনের প্রকাশকে প্রশমিত করতে প্রয়োগ করা যেতে পারে দ্রুত কর্মের এই প্যাচ অস্থায়ী বিবেচনা করা উচিত. যেকোন গিটল্যাব ইনস্ট্যান্স যত তাড়াতাড়ি সম্ভব 14.8.2, 14.7.4, বা 14.6.5 এর প্যাচ করা সংস্করণে আপডেট করা উচিত।

সফল API ফাঁস শোষণ দূষিত অভিনেতাদের একটি টার্গেটের অন্তর্গত বৈধ ব্যবহারকারীর নামের তালিকা গণনা এবং সংকলন করার অনুমতি দিতে পারে পাসওয়ার্ড অনুমান করা, পাসওয়ার্ড স্প্রে করা এবং শংসাপত্র স্টাফিং সহ পাশবিক শক্তি আক্রমণ চালানোর জন্য একটি স্প্রিংবোর্ড হিসাবে ব্যবহার করা যেতে পারে।

"তথ্য ফাঁস সম্ভাব্যভাবে একজন আক্রমণকারীকে GitLab ইনস্টলেশনের উপর ভিত্তি করে একটি নতুন ব্যবহারকারী শব্দ তালিকা তৈরি করার অনুমতি দেয়, শুধুমাত্র gitlab.com থেকে নয় বরং অন্যান্য 50,000 ইন্টারনেট-অভিগম্য গিটল্যাব উদাহরণ থেকেও।"

এটি সুপারিশ করা হয় ব্যবহারকারীদের জন্য যারা তাদের নিজস্ব GitLab ইনস্টলেশন বজায় রাখে একটি আপডেট ইনস্টল করতে বা যত তাড়াতাড়ি সম্ভব একটি প্যাচ প্রয়োগ করতে। শুধুমাত্র লেখার অনুমতি আছে এমন ব্যবহারকারীদের দ্রুত অ্যাকশন কমান্ডে অ্যাক্সেস রেখে এই সমস্যাটি সমাধান করা হয়েছে।

একটি আপডেট বা স্বতন্ত্র "টোকেন-প্রিফিক্স" প্যাচ ইনস্টল করার পরে, রানারে গোষ্ঠী এবং প্রকল্পগুলির জন্য পূর্বে তৈরি নিবন্ধীকরণ টোকেনগুলি পুনরায় সেট করা হবে এবং পুনরায় তৈরি করা হবে৷

গুরুতর দুর্বলতা ছাড়াও, যে নতুন সংস্করণগুলি প্রকাশিত হয়েছে তাতে 6টি কম বিপজ্জনক দুর্বলতার সমাধানও রয়েছে:

প্রতিক্রিয়া জমা দেওয়ার সিস্টেমের মাধ্যমে একটি DoS আক্রমণ: GitLab CE/EE-তে একটি সমস্যা যা 8.15 থেকে শুরু হওয়া সমস্ত সংস্করণকে প্রভাবিত করে। সমস্যা মন্তব্যে একটি নির্দিষ্ট সূত্র সহ গণিত ফাংশন ব্যবহার করে একটি ডস সক্রিয় করা সম্ভব ছিল।
একটি অ-সুবিধাপ্রাপ্ত ব্যবহারকারীর দ্বারা গ্রুপে অন্যান্য ব্যবহারকারীদের যোগ করা: যা 14.3.6-এর আগে সমস্ত সংস্করণ, 14.4-এর আগে 14.4.4-এর সমস্ত সংস্করণ, 14.5-এর আগে 14.5.2-এর সমস্ত সংস্করণকে প্রভাবিত করে৷ কিছু নির্দিষ্ট শর্তের অধীনে, GitLab REST API অ-সুবিধাপ্রাপ্ত ব্যবহারকারীদের গ্রুপে অন্যান্য ব্যবহারকারীদের যোগ করার অনুমতি দিতে পারে, এমনকি যদি এটি ওয়েব UI এর মাধ্যমে সম্ভব না হয়।
স্নিপেটের বিষয়বস্তুর কারসাজির মাধ্যমে ব্যবহারকারীদের ভুল তথ্য: একজন অননুমোদিত অভিনেতাকে প্রতারণামূলক বিষয়বস্তু সহ স্নিপেট তৈরি করার অনুমতি দেয়, যা সন্দেহাতীত ব্যবহারকারীদের নির্বিচারে আদেশ কার্যকর করার জন্য প্রতারণা করতে পারে
"সেন্ডমেইল" ডেলিভারি পদ্ধতির মাধ্যমে পরিবেশের ভেরিয়েবলের ফাঁস: GitLab CE/EE এর সমস্ত সংস্করণে ভুল ইনপুট বৈধতা ইমেল পাঠানোর জন্য sendmail ব্যবহার করে একজন অননুমোদিত অভিনেতাকে বিশেষভাবে তৈরি করা ইমেল ঠিকানাগুলির মাধ্যমে পরিবেশের ভেরিয়েবল চুরি করার অনুমতি দেয়।
GraphQL API এর মাধ্যমে ব্যবহারকারীর উপস্থিতি নির্ধারণ করা: সীমাবদ্ধ রেজিস্ট্রি সহ ব্যক্তিগত গিটল্যাব দৃষ্টান্তগুলি গ্রাফকিউএল এপিআই এর মাধ্যমে অপ্রমাণিত ব্যবহারকারীদের দ্বারা ব্যবহারকারীর গণনার জন্য ঝুঁকিপূর্ণ হতে পারে
পুল মোডে SSH এর মাধ্যমে সংগ্রহস্থলগুলিকে মিরর করার সময় পাসওয়ার্ড ফাঁস হয়ে যায়

পরিশেষে আপনি যদি এটি সম্পর্কে আরও জানতে আগ্রহী হন, আপনি বিশদে পরীক্ষা করতে পারেন নিম্নলিখিত লিঙ্ক.

আপনার মন্তব্য দিন

আপনার ইমেল ঠিকানা প্রকাশিত হবে না। প্রয়োজনীয় ক্ষেত্রগুলি দিয়ে চিহ্নিত করা *

মন্তব্য *

নাম*

ইমেইল electrónico*

এসেপ্টো লস গোপনীয়তা শর্তাদি*

ডেটার জন্য দায়ী: AB ইন্টারনেট নেটওয়ার্ক 2008 SL
ডেটার উদ্দেশ্য: নিয়ন্ত্রণ স্প্যাম, মন্তব্য পরিচালনা।
আইনীকরণ: আপনার সম্মতি
তথ্য যোগাযোগ: ডেটা আইনি বাধ্যবাধকতা ব্যতীত তৃতীয় পক্ষের কাছে জানানো হবে না।
ডেটা স্টোরেজ: ওসেন্টাস নেটওয়ার্কস (ইইউ) দ্বারা হোস্ট করা ডেটাবেস
অধিকার: যে কোনও সময় আপনি আপনার তথ্য সীমাবদ্ধ করতে, পুনরুদ্ধার করতে এবং মুছতে পারেন।

আমি নিউজলেটার পেতে চাই

আপনার মন্তব্য দিন উত্তর বাতিল করুন

আপনার মন্তব্য দিন