Correction d'une vulnérabilité dans GitLab qui permet l'accès aux jetons Runner

Darkcrizt

Minutes 4

il y a quelques jours dans GitLab a été dévoilé via un article de blog que les chercheurs ont révélé détails d'une vulnérabilité la sécurité est désormais corrigée dans GitLab, un logiciel DevOps open source, qui pourrait permettre à un attaquant distant non authentifié de récupérer des informations relatives à l'utilisateur.

La principale vulnérabilité, qui est déjà enregistré sous le numéro CVE-2021-4191, il est attribué à la faille de gravité moyenne qui affecte toutes les versions de GitLab Community Edition et Enterprise Edition depuis 13.0 et toutes les versions à partir de 14.4 et antérieures à 14.8.

C'est Jake Baines, chercheur principal en sécurité chez Rapid7, à qui l'on attribue la découverte et le signalement de la faille, qui, après une divulgation responsable le 18 novembre 2021, a fait publier des correctifs dans le cadre des versions de sécurité critiques de GitLab 14.8.2, 14.7.4. 14.6.5 et XNUMX qui pourrait permettre à un utilisateur non autorisé d'extraire des jetons d'enregistrement dans GitLab Runner, qui est utilisé pour organiser les gestionnaires d'appels lors de la création du code de projet dans un système d'intégration continue.

"La vulnérabilité est le résultat d'une vérification d'authentification manquante lors de l'exécution de certaines requêtes de l'API GitLab GraphQL", a déclaré Baines. mentionné dans un rapport publié jeudi. "Un attaquant distant non authentifié peut utiliser cette vulnérabilité pour récolter les noms d'utilisateur, les noms et les adresses e-mail enregistrés sur GitLab."

De plus, il est mentionné que si vous utilisez des exécuteurs Kubernetes, vous devez mettre à jour manuellement les valeurs du graphique Helm. avec le nouveau jeton d'enregistrement. 

Et que pour les instances autogérées qui ne sont pas aux versions 14.6 ou ultérieures, GitLab a correctifs publiés qui peut être appliqué pour atténuer la divulgation du jeton d'enregistrement Runner via la vulnérabilité d'actions rapides  Ces correctifs doivent être considérés comme temporaires. Toute instance GitLab doit être mise à jour vers une version corrigée de 14.8.2, 14.7.4 ou 14.6.5 dès que possible.

Exploitation réussie des fuites d'API pourrait permettre à des acteurs malveillants d'énumérer et de compiler des listes de noms d'utilisateur légitimes appartenant à une cible qui peut ensuite être utilisé comme tremplin pour mener des attaques par force brute, y compris la devinette de mot de passe, la pulvérisation de mot de passe et le bourrage d'informations d'identification.

"La fuite d'informations permet également potentiellement à un attaquant de créer une nouvelle liste de mots utilisateur basée sur les installations de GitLab, non seulement à partir de gitlab.com mais également à partir des 50,000 XNUMX autres instances GitLab accessibles sur Internet."

Il est recommandé aux utilisateurs qui maintiennent leurs propres installations GitLab pour installer une mise à jour ou appliquer un correctif dès que possible. Ce problème a été résolu en laissant l'accès aux commandes d'action rapide uniquement aux utilisateurs disposant d'une autorisation d'écriture.

Après avoir installé une mise à jour ou des correctifs individuels de "préfixe de jeton", les jetons d'enregistrement créés précédemment pour les groupes et les projets dans Runner seront réinitialisés et régénérés.

En plus de la vulnérabilité critique, les nouvelles versions publiées incluent également des correctifs pour 6 vulnérabilités moins dangereuses :

  • Une attaque DoS via le système de soumission de feedback : un problème dans GitLab CE/EE qui affecte toutes les versions à partir de 8.15. Il était possible d'activer un DOS en utilisant la fonction mathématique avec une formule spécifique dans les commentaires du problème.
  • Ajout d'autres utilisateurs à des groupes par un utilisateur non privilégié : qui affecte toutes les versions avant 14.3.6, toutes les versions de 14.4 avant 14.4.4, toutes les versions de 14.5 avant 14.5.2. Sous certaines conditions, l'API REST GitLab peut permettre aux utilisateurs non privilégiés d'ajouter d'autres utilisateurs à des groupes, même si cela n'est pas possible via l'interface utilisateur Web.
  • Désinformation des utilisateurs via la manipulation du contenu des Snippets : permet à un acteur non autorisé de créer des extraits de code avec un contenu trompeur, ce qui pourrait inciter des utilisateurs sans méfiance à exécuter des commandes arbitraires
  • Fuite de variables d'environnement via la méthode de livraison "sendmail": Une validation d'entrée incorrecte sur toutes les versions de GitLab CE/EE utilisant sendmail pour envoyer des e-mails a permis à un acteur non autorisé de voler des variables d'environnement via des adresses e-mail spécialement conçues.
  • Détermination de la présence de l'utilisateur via l'API GraphQL : Les instances privées de GitLab avec des registres restreints peuvent être vulnérables à l'énumération des utilisateurs par des utilisateurs non authentifiés via l'API GraphQL
  • fuites de mot de passe lors de la mise en miroir de référentiels via SSH en mode pull 

Enfin si vous souhaitez en savoir plus, vous pouvez vérifier les détails dans le lien suivant


Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont marqués avec *

*

*

  1. Responsable des données : AB Internet Networks 2008 SL
  2. Finalité des données: Contrôle du SPAM, gestion des commentaires.
  3. Légitimation: votre consentement
  4. Communication des données: Les données ne seront pas communiquées à des tiers sauf obligation légale.
  5. Stockage des données: base de données hébergée par Occentus Networks (EU)
  6. Droits: à tout moment, vous pouvez limiter, récupérer et supprimer vos informations.