pirms vairākām dienām iekšā GitLab tika atklāts, izmantojot emuāra ziņu ka pētnieki atklāja ievainojamības detaļas drošība tagad ir ielāpīta GitLab, atvērtā pirmkoda DevOps programmatūrā, kas varētu ļaut neautentificētam attālinātam uzbrucējam izgūt ar lietotāju saistītu informāciju.
Galvenā ievainojamība, kas jau ir reģistrēts kā CVE-2021-4191, tas ir saistīts ar vidēja smaguma trūkumu, kas ietekmē visas GitLab Community Edition un Enterprise Edition versijas kopš 13.0 un visas versijas no 14.4 un vecākas par 14.8.
Tas bija Džeiks Beinss, Rapid7 vecākais drošības pētnieks, kurš tika atzīts par defekta atklāšanu un ziņošanu par to, kurš pēc atbildīgas atklāšanas 18. gada 2021. novembrī izlaida labojumus kā daļu no kritiskās drošības laidieniem. no GitLab 14.8.2, 14.7.4. 14.6.5 un XNUMX kas varētu ļaut neautorizētam lietotājam iegūt reģistrācijas pilnvaras programmā GitLab Runner, ko izmanto zvanu apdarinātāju organizēšanai, veidojot projekta kodu nepārtrauktas integrācijas sistēmā.
"Ievainojamība ir saistīta ar trūkstošu autentifikācijas pārbaudi, izpildot noteiktus GitLab GraphQL API pieprasījumus," sacīja Beinss. minēts ceturtdien publicētajā ziņojumā. "Neautentificēts attālais uzbrucējs var izmantot šo ievainojamību, lai iegūtu GitLab reģistrētos lietotājvārdus, vārdus un e-pasta adreses."
Turklāt tiek minēts, ka, ja izmantojat Kubernetes izpildītājus, Helm diagrammas vērtības ir jāatjaunina manuāli. ar jauno reģistrācijas marķieri.
Un tas pašpārvaldītiem gadījumiem, kuru versija nav 14.6 vai jaunāka, GitLab ir ievietoti ielāpi ko var izmantot, lai mazinātu Runner reģistrācijas pilnvaras izpaušanu, izmantojot ievainojamību ātras darbības Šie ielāpi jāuzskata par pagaidu. Jebkurš GitLab gadījums pēc iespējas ātrāk ir jāatjaunina uz ielāpu versiju 14.8.2, 14.7.4 vai 14.6.5.
Veiksmīga API noplūdes izmantošana varētu ļaut ļaunprātīgiem dalībniekiem uzskaitīt un sastādīt likumīgo lietotājvārdu sarakstus, kas pieder mērķim ko pēc tam var izmantot kā tramplīnu brutālu spēku uzbrukumu veikšanai, tostarp paroles uzminēšanai, paroles izsmidzināšanai un akreditācijas datu pildīšanai.
"Informācijas noplūde arī potenciāli ļauj uzbrucējam izveidot jaunu lietotāju vārdu sarakstu, pamatojoties uz GitLab instalācijām, ne tikai no gitlab.com, bet arī no 50,000 XNUMX citiem internetam pieejamiem GitLab gadījumiem."
Tas ir ieteicams lietotājiem, kuri uztur paši savas GitLab instalācijas lai pēc iespējas ātrāk instalētu atjauninājumu vai lietotu ielāpu. Šī problēma tika novērsta, atļaujot piekļuvi ātrās darbības komandām tikai lietotājiem ar rakstīšanas atļauju.
Pēc atjauninājuma vai atsevišķu "token-prefix" ielāpu instalēšanas iepriekš izveidotās reģistrācijas pilnvaras grupām un projektiem programmā Runner tiks atiestatītas un atjaunotas.
Papildus kritiskajai ievainojamībai, jaunajās versijās, kas tika izlaistas, ir arī labojumi 6 mazāk bīstamām ievainojamībām:
- DoS uzbrukums, izmantojot atsauksmju iesniegšanas sistēmu: GitLab CE/EE problēma, kas ietekmē visas versijas, sākot ar 8.15. DOS bija iespējams aktivizēt, izmantojot matemātisko funkciju ar noteiktu formulu uzdevuma komentāros.
- Citu lietotāju pievienošana grupām, ko veicis priviliģēts lietotājs: kas ietekmē visas versijas pirms 14.3.6, visas versijas no 14.4 līdz 14.4.4, visas versijas no 14.5 līdz 14.5.2. Noteiktos apstākļos GitLab REST API var ļaut lietotājiem bez priviliģētām grupām pievienot citus lietotājus, pat ja tas nav iespējams, izmantojot tīmekļa lietotāja interfeisu.
- Lietotāju maldinoša informācija, manipulējot ar fragmentu saturu: ļauj neautorizētam aktierim izveidot fragmentus ar maldinošu saturu, kas var maldināt nenojaušus lietotājus izpildīt patvaļīgas komandas
- Vides mainīgo noplūde, izmantojot "sendmail" piegādes metodi: Nepareiza ievades validācija visās GitLab CE/EE versijās, izmantojot sendmail e-pasta ziņojumu sūtīšanai, ļāva neautorizētam dalībniekam nozagt vides mainīgos, izmantojot īpaši izstrādātas e-pasta adreses.
- Lietotāja klātbūtnes noteikšana, izmantojot GraphQL API: Privātās GitLab instances ar ierobežotiem reģistriem var būt neaizsargātas pret lietotāju uzskaitīšanu, ko veic neautentificēti lietotāji, izmantojot GraphQL API
- paroles noplūde, spoguļojot krātuves, izmantojot SSH vilkšanas režīmā
Beidzot ja jūs interesē uzzināt vairāk par to, sīkāku informāciju varat pārbaudīt šī saite.