לפני מספר ימים ב GitLab נחשפה באמצעות פוסט בבלוג שחוקרים חשפו את פרטים על פגיעות אבטחה מתוכנת כעת ב-GitLab, תוכנת DevOps בקוד פתוח, שיכולה לאפשר לתוקף מרוחק לא מאומת לאחזר מידע הקשור למשתמש.
הפגיעות העיקרית, שהיא כבר רשום בתור CVE-2021-4191, זה מיוחס לפגם בחומרה הבינונית שמשפיע על כל הגרסאות של GitLab Community Edition ושל Enterprise Edition מאז 13.0 וכל הגרסאות מ-14.4 ומקודם מ-14.8.
היה זה ג'ייק ביינס, חוקר אבטחה בכיר ב-Rapid7, אשר זוכה לגילוי ולדיווח על הפגם, אשר לאחר חשיפה אחראית ב-18 בנובמבר 2021, שוחררו תיקונים כחלק ממהדורות אבטחה קריטיות. מ-GitLab 14.8.2, 14.7.4. 14.6.5 ו-XNUMX אשר יכול לאפשר למשתמש לא מורשה לכרות אסימוני רישום ב- GitLab Runner, המשמש לארגון מטפלי שיחות בעת יצירת קוד פרויקט במערכת אינטגרציה רציפה.
"הפגיעות היא תוצאה של בדיקת אימות חסר בעת ביצוע בקשות מסוימות של GitLab GraphQL API", אמר ביינס. מוזכר בדו"ח שפורסם ביום חמישי. "תוקף מרוחק לא מאומת יכול להשתמש בפגיעות זו כדי לאסוף שמות משתמש, שמות וכתובות אימייל רשומים ב-GitLab."
בנוסף, מוזכר שאם אתה משתמש בביצועי Kubernetes, עליך לעדכן באופן ידני את ערכי תרשים ה-Helm. עם אסימון הרישום החדש.
ושלמקרים בניהול עצמי שאינם בגירסאות 14.6 ואילך, ל-GitLab יש פרסמו תיקונים שניתן ליישם כדי להפחית את חשיפת אסימון הרישום של Runner דרך הפגיעות של פעולות מהירות תיקונים אלה צריכים להיחשב זמניים. יש לעדכן כל מופע של GitLab לגרסה מתוקנת של 14.8.2, 14.7.4 או 14.6.5 בהקדם האפשרי.
ניצול דליפות API מוצלח עלול לאפשר לשחקנים זדוניים למנות ולרכז רשימות של שמות משתמש לגיטימיים השייכים למטרה אשר לאחר מכן יכול לשמש כקרש קפיצה לביצוע התקפות כוח גס, כולל ניחוש סיסמאות, ריסוס סיסמאות ומילוי אישורים.
"דליפת המידע גם מאפשרת לתוקף ליצור רשימת מילים חדשה של משתמש המבוססת על התקנות GitLab, לא רק מ-gitlab.com אלא גם מ-50,000 מופעי GitLab אחרים הנגישים לאינטרנט."
מומלץ למשתמשים שמתחזקים התקנות GitLab משלהם כדי להתקין עדכון או להחיל תיקון בהקדם האפשרי. בעיה זו תוקנה על ידי השארת גישה לפקודות פעולה מהירות רק למשתמשים עם הרשאת כתיבה.
לאחר התקנת עדכון או תיקוני "אסימון-קידומת" בודדים, אסימוני רישום שנוצרו בעבר עבור קבוצות ופרויקטים ב-Runnר יאופסו וייווצרו מחדש.
בנוסף לפגיעות הקריטית, הגרסאות החדשות ששוחררו כוללות גם תיקונים ל-6 נקודות תורפה פחות מסוכנות:
- התקפת DoS באמצעות מערכת הגשת המשוב: בעיה ב-GitLab CE/EE שמשפיעה על כל הגרסאות החל מ-8.15. ניתן היה להפעיל DOS באמצעות הפונקציה המתמטית עם נוסחה ספציפית בהערות הבעיה.
- הוספת משתמשים אחרים לקבוצות על ידי משתמש ללא הרשאות: שמשפיע על כל הגרסאות לפני 14.3.6, כל הגרסאות מ-14.4 לפני 14.4.4, כל הגרסאות מ-14.5 לפני 14.5.2. בתנאים מסוימים, GitLab REST API יכול לאפשר למשתמשים שאינם מורשים להוסיף משתמשים אחרים לקבוצות, גם אם זה לא אפשרי דרך ממשק המשתמש של האינטרנט.
- מידע שגוי של משתמשים באמצעות מניפולציה של התוכן של Snippets: מאפשר לשחקן לא מורשה ליצור Snippets עם תוכן מטעה, שעלול להערים על משתמשים תמימים לבצע פקודות שרירותיות
- דליפה של משתני סביבה באמצעות שיטת המסירה "שלח דואר": אימות קלט שגוי בכל הגירסאות של GitLab CE/EE באמצעות sendmail לשליחת מיילים אפשר לשחקן לא מורשה לגנוב משתני סביבה באמצעות כתובות דוא"ל בעלות מבנה מיוחד.
- קביעת נוכחות משתמש באמצעות ה-API של GraphQL: מופעי GitLab פרטיים עם רישום מוגבל עלולים להיות חשופים לספירת משתמשים על ידי משתמשים לא מאומתים באמצעות ה-API של GraphQL
- דליפות סיסמה בעת שיקוף מאגרים באמצעות SSH במצב משיכה
בסופו של דבר אם אתה מעוניין לדעת יותר על כך, אתה יכול לבדוק את הפרטים ב הקישור הבא.