Memperbaiki kelemahan dalam GitLab yang membenarkan akses kepada token Runner

Darkcrizt

Minit 4

beberapa hari lalu di GitLab telah diumumkan melalui catatan blog bahawa penyelidik mendedahkan butiran kelemahan keselamatan kini ditampal dalam GitLab, perisian DevOps sumber terbuka, yang boleh membenarkan penyerang jauh yang tidak disahkan untuk mendapatkan maklumat berkaitan pengguna.

Kelemahan utama, yang sudah berdaftar sebagai CVE-2021-4191, ia dikaitkan dengan kecacatan tahap sederhana yang mempengaruhi semua versi GitLab Edisi Komuniti dan Edisi Perusahaan sejak 13.0 dan semua versi dari 14.4 dan lebih awal daripada 14.8.

Jake Baines, penyelidik keselamatan kanan di Rapid7, yang dikreditkan kerana menemui dan melaporkan kecacatan itu, yang selepas pendedahan yang bertanggungjawab pada 18 November 2021, telah mengeluarkan pembetulan sebagai sebahagian daripada keluaran keselamatan kritikal. daripada GitLab 14.8.2, 14.7.4. 14.6.5 dan XNUMX yang boleh membenarkan pengguna yang tidak dibenarkan melombong token pendaftaran dalam GitLab Runner, yang digunakan untuk mengatur pengendali panggilan apabila mencipta kod projek dalam sistem penyepaduan berterusan.

"Kerentanan adalah hasil daripada semakan pengesahan yang hilang semasa melaksanakan permintaan API GitLab GraphQL tertentu," kata Baines. disebut dalam laporan yang dikeluarkan Khamis. "Penyerang jauh yang tidak disahkan boleh menggunakan kelemahan ini untuk mendapatkan nama pengguna, nama dan alamat e-mel berdaftar GitLab."

Selain itu, dinyatakan bahawa jika anda menggunakan pelaksana Kubernetes, anda mesti mengemas kini nilai carta Helm secara manual. dengan token pendaftaran baharu. 

Dan itu untuk kejadian terurus sendiri yang bukan pada versi 14.6 atau lebih baru, GitLab mempunyai tampalan yang disiarkan yang boleh digunakan untuk mengurangkan pendedahan token pendaftaran Pelari melalui kelemahan daripada tindakan pantas  Tompok ini harus dianggap sementara. Mana-mana contoh GitLab hendaklah dikemas kini kepada versi tampalan 14.8.2, 14.7.4 atau 14.6.5 secepat mungkin.

Eksploitasi kebocoran API yang berjaya boleh membenarkan pelakon berniat jahat untuk menghitung dan menyusun senarai nama pengguna yang sah kepunyaan sasaran yang kemudiannya boleh digunakan sebagai batu loncatan untuk melakukan serangan kekerasan, termasuk meneka kata laluan, semburan kata laluan dan pemadat bukti kelayakan.

"Kebocoran maklumat juga berpotensi membolehkan penyerang membuat senarai perkataan pengguna baharu berdasarkan pemasangan GitLab, bukan sahaja daripada gitlab.com tetapi juga daripada 50,000 contoh GitLab yang boleh diakses Internet yang lain."

Ia disyorkan kepada pengguna yang mengekalkan pemasangan GitLab mereka sendiri untuk memasang kemas kini atau menggunakan tampalan secepat mungkin. Isu ini telah dibetulkan dengan meninggalkan akses kepada arahan tindakan pantas hanya kepada pengguna dengan kebenaran Tulis.

Selepas memasang kemas kini atau tampung "awalan token" individu, token pendaftaran yang dibuat sebelum ini untuk kumpulan dan projek dalam Runner akan ditetapkan semula dan dijana semula.

Di samping kelemahan kritikal, versi baharu yang dikeluarkan juga termasuk pembaikan kepada 6 kelemahan yang kurang berbahaya:

  • Serangan DoS melalui sistem penyerahan maklum balas: isu dalam GitLab CE/EE yang menjejaskan semua versi bermula dengan 8.15. Ia adalah mungkin untuk mengaktifkan DOS dengan menggunakan fungsi matematik dengan formula khusus dalam ulasan masalah.
  • Menambah pengguna lain pada kumpulan oleh pengguna bukan istimewa: yang mempengaruhi semua versi sebelum 14.3.6, semua versi dari 14.4 sebelum 14.4.4, semua versi dari 14.5 sebelum 14.5.2. Di bawah syarat tertentu, API REST GitLab boleh membenarkan pengguna yang tidak mempunyai keistimewaan menambah pengguna lain pada kumpulan, walaupun ia tidak boleh dilakukan melalui UI web.
  • Maklumat salah pengguna melalui manipulasi kandungan Coretan: membenarkan pelakon yang tidak dibenarkan membuat Coretan dengan kandungan yang mengelirukan, yang boleh menipu pengguna yang tidak curiga supaya melaksanakan arahan sewenang-wenangnya
  • Kebocoran pembolehubah persekitaran melalui kaedah penghantaran "sendmail": Pengesahan input yang salah pada semua versi GitLab CE/EE menggunakan sendmail untuk menghantar e-mel membenarkan pelakon yang tidak dibenarkan mencuri pembolehubah persekitaran melalui alamat e-mel yang direka khas.
  • Menentukan kehadiran pengguna melalui API GraphQL: Kejadian GitLab peribadi dengan pendaftaran terhad mungkin terdedah kepada penghitungan pengguna oleh pengguna yang tidak disahkan melalui API GraphQL
  • kata laluan bocor apabila mencerminkan repositori melalui SSH dalam mod tarik 

Akhirnya sekiranya anda berminat untuk mengetahui lebih lanjut mengenainya, anda boleh menyemak butiran di pautan berikut.


Tinggalkan komen anda

Alamat email anda tidak akan disiarkan. Ruangan yang diperlukan ditanda dengan *

*

*

  1. Bertanggungjawab untuk data: AB Internet Networks 2008 SL
  2. Tujuan data: Mengendalikan SPAM, pengurusan komen.
  3. Perundangan: Persetujuan anda
  4. Komunikasi data: Data tidak akan disampaikan kepada pihak ketiga kecuali dengan kewajiban hukum.
  5. Penyimpanan data: Pangkalan data yang dihoskan oleh Occentus Networks (EU)
  6. Hak: Pada bila-bila masa anda boleh menghadkan, memulihkan dan menghapus maklumat anda.