Kafaffen rauni a cikin GitLab wanda ke ba da damar shiga alamun Runner

Darkcrizt

4 minti

kwanaki da yawa da suka gabata a An buɗe GitLab ta hanyar gidan yanar gizo cewa masu bincike sun bayyana cikakkun bayanai game da rauni tsaro yanzu an daidaita shi a GitLab, buɗaɗɗen tushen software na DevOps, wanda zai iya ba da damar maharan nesa ba tare da ingantacciyar hanyar ba don dawo da bayanan da suka shafi mai amfani.

Babban rashin lahani, wanda ya riga ya kasance rajista kamar CVE-2021-4191, ana danganta shi da ƙarancin matsakaicin matsakaici wanda ke shafar duk nau'ikan Buga Al'umma na GitLab da Ɗabi'ar Kasuwanci tun daga 13.0 da duk nau'ikan daga 14.4 kuma kafin 14.8.

Jake Baines, babban mai binciken tsaro ne a Rapid7, wanda aka yaba da ganowa da bayar da rahoto game da matsalar, wanda bayan bayyana alhaki a ranar 18 ga Nuwamba, 2021, an fitar da gyare-gyare a zaman wani bangare na fitar da tsaro daga GitLab 14.8.2, 14.7.4. 14.6.5 da XNUMX wanda zai iya ƙyale mai amfani mara izini don yin rajistar alamar rajista a cikin GitLab Runner, wanda ake amfani dashi don tsara masu kiran kira lokacin ƙirƙirar lambar aikin a cikin tsarin haɗin kai mai ci gaba.

"Rashin lahani shine sakamakon binciken tantancewa da ya ɓace lokacin aiwatar da wasu buƙatun API na GitLab GraphQL," in ji Baines. a cikin wani rahoto da aka fitar ranar Alhamis. "Mai hari mai nisa mara inganci na iya amfani da wannan raunin don girbi sunayen masu amfani, sunaye, da adiresoshin imel masu rijista na GitLab."

Bugu da ƙari, an ambaci cewa idan kuna amfani da masu zartarwa na Kubernetes, dole ne ku sabunta ƙimar taswirar Helm da hannu. tare da sabon alamar rajista. 

Kuma wannan don yanayin sarrafa kansa waɗanda ba a sigar 14.6 ko daga baya ba, GitLab yana da buga faci wanda za a iya amfani da shi don rage bayyanar da alamar rajistar Runner ta hanyar rauni na gaggawa ayyuka  Ya kamata a ɗauki waɗannan facin na ɗan lokaci. Duk wani misali na GitLab ya kamata a sabunta shi zuwa sigar faci na 14.8.2, 14.7.4, ko 14.6.5 da wuri-wuri.

Nasarar ɗigon amfani da API zai iya ƙyale ƴan wasan ƙeta su ƙididdigewa da tattara jerin sunayen halaltattun sunayen masu amfani na wani manufa. wanda daga nan za a iya amfani da shi azaman faifai don aiwatar da hare-haren wuce gona da iri, da suka haɗa da tantance kalmar sirri, fesa kalmar sirri, da sharar bayanan sirri.

"Bayan bayanan kuma yana iya ba mai hari damar ƙirƙirar sabon jerin kalmomin mai amfani dangane da kayan aikin GitLab, ba kawai daga gitlab.com ba har ma daga sauran abubuwan GitLab 50,000 masu samun damar Intanet."

Ana bada shawarar ga masu amfani waɗanda ke kula da nasu kayan GitLab don shigar da sabuntawa ko amfani da faci da wuri-wuri. An gyara wannan batun ta hanyar barin damar yin amfani da umarni mai sauri ga masu amfani kawai tare da izini Rubutu.

Bayan shigar da sabuntawa ko daidaitattun faci na "token-prefix", alamun rajista da aka ƙirƙira a baya don ƙungiyoyi da ayyuka a cikin Runner za a sake saita su kuma za su sake haɓakawa.

Bugu da ƙari ga mummunan rauni, Sabbin juzu'in da aka fitar kuma sun haɗa da gyara zuwa 6 marasa haɗari marasa haɗari:

  • Harin DoS ta hanyar tsarin ƙaddamar da martani: Batu a GitLab CE/EE wanda ke shafar duk nau'ikan da suka fara da 8.15. Yana yiwuwa a kunna DOS ta amfani da aikin lissafi tare da takamaiman tsari a cikin maganganun matsala.
  • Ƙara wasu masu amfani zuwa ƙungiyoyi ta mai amfani mara gata: wanda ke shafar duk nau'ikan kafin 14.3.6, duk nau'ikan daga 14.4 kafin 14.4.4, duk nau'ikan daga 14.5 kafin 14.5.2. Ƙarƙashin wasu sharuɗɗa, GitLab REST API na iya ƙyale masu amfani da ba su da gata su ƙara wasu masu amfani zuwa ƙungiyoyi, ko da hakan ba zai yiwu ta UI na yanar gizo ba.
  • Ba daidai ba na masu amfani ta hanyar sarrafa abun ciki na Snippets: yana ba ɗan wasan kwaikwayo mara izini ya ƙirƙiri Snippets tare da abun ciki na yaudara, wanda zai iya yaudarar masu amfani da ba su da tabbas don aiwatar da umarni na sabani.
  • Fitar da masu canjin yanayi ta hanyar isar da sakon "sendmail": Ingancin shigarwar da ba daidai ba akan duk nau'ikan GitLab CE/EE ta amfani da aika saƙon aika saƙon imel ya ba ɗan wasan kwaikwayo mara izini ya saci masu canjin yanayi ta hanyar adiresoshin imel na musamman.
  • Ƙayyade kasancewar mai amfani ta hanyar GraphQL API: Misalai na GitLab masu zaman kansu tare da ƙuntataccen rajista na iya zama masu rauni ga ƙididdige mai amfani ta masu amfani marasa inganci ta GraphQL API
  • kalmar sirri na leaks lokacin da aka kwatanta ma'ajiyar ta hanyar SSH a yanayin ja 

Finalmente idan kuna sha'awar ƙarin sani game da shi, zaku iya bincika cikakkun bayanai a cikin bin hanyar haɗi.


Bar tsokaci

Your email address ba za a buga. Bukata filayen suna alama da *

*

*

  1. Alhakin bayanai: AB Internet Networks 2008 SL
  2. Manufar bayanan: Sarrafa SPAM, sarrafa sharhi.
  3. Halacci: Yarda da yarda
  4. Sadarwar bayanan: Ba za a sanar da wasu bayanan ga wasu kamfanoni ba sai ta hanyar wajibcin doka.
  5. Ajiye bayanai: Bayanin yanar gizo wanda Occentus Networks (EU) suka dauki nauyi
  6. Hakkoki: A kowane lokaci zaka iyakance, dawo da share bayanan ka.