enkele dagen geleden in GitLab werd onthuld via een blogpost dat onderzoekers de details van een kwetsbaarheid beveiliging nu gepatcht in GitLab, een open source DevOps-software, waarmee een niet-geverifieerde externe aanvaller gebruikersgerelateerde informatie kan ophalen.
De belangrijkste kwetsbaarheid, die al is geregistreerd als CVE-2021-4191, het wordt toegeschreven aan de gemiddelde ernstfout die van invloed is op alle versies van GitLab Community Edition en Enterprise Edition sinds 13.0 en alle versies van 14.4 en eerder dan 14.8.
Het was Jake Baines, een senior beveiligingsonderzoeker bij Rapid7, aan wie de ontdekking en rapportage van de fout wordt toegeschreven, die na een verantwoorde onthulling op 18 november 2021 fixes heeft vrijgegeven als onderdeel van kritieke beveiligingsreleases van GitLab 14.8.2, 14.7.4. 14.6.5 en XNUMX welke kan een onbevoegde gebruiker toestaan om registratietokens in GitLab Runner te minen, die wordt gebruikt om call-handlers te organiseren bij het maken van projectcode in een continu integratiesysteem.
"De kwetsbaarheid is het resultaat van een ontbrekende authenticatiecontrole bij het uitvoeren van bepaalde GitLab GraphQL API-verzoeken", zei Baines. genoemd in een donderdag vrijgegeven rapport. "Een niet-geverifieerde externe aanvaller kan dit beveiligingslek gebruiken om GitLab-geregistreerde gebruikersnamen, namen en e-mailadressen te verzamelen."
Bovendien wordt vermeld dat als u Kubernetes-uitvoerders gebruikt, u de Helm-diagramwaarden handmatig moet bijwerken. met de nieuwe registratietoken.
En dat voor zelfbeheerde instanties die geen versie 14.6 of hoger hebben, GitLab heeft: geposte patches die kunnen worden toegepast om de onthulling van het Runner-registratietoken door de kwetsbaarheid te beperken van snelle acties Deze patches moeten als tijdelijk worden beschouwd. Elke GitLab-instantie moet zo snel mogelijk worden bijgewerkt naar een gepatchte versie van 14.8.2, 14.7.4 of 14.6.5.
Succesvolle exploitatie van API-lekken kwaadwillende actoren in staat kunnen stellen lijsten van legitieme gebruikersnamen die tot een doelwit behoren op te sommen en samen te stellen die vervolgens kan worden gebruikt als springplank voor het uitvoeren van brute-force-aanvallen, waaronder het raden van wachtwoorden, het spuiten van wachtwoorden en het vullen van inloggegevens.
"Het informatielek stelt een aanvaller mogelijk ook in staat om een nieuwe gebruikerswoordenlijst te maken op basis van GitLab-installaties, niet alleen van gitlab.com maar ook van de 50,000 andere via internet toegankelijke GitLab-instanties."
Het wordt aanbevolen voor gebruikers die hun eigen GitLab-installaties onderhouden om zo snel mogelijk een update te installeren of een patch toe te passen. Dit probleem is verholpen door de toegang tot opdrachten voor snelle acties alleen over te laten aan gebruikers met schrijfrechten.
Na het installeren van een update of individuele "token-prefix"-patches, worden eerder aangemaakte registratietokens voor groepen en projecten in Runner gereset en opnieuw gegenereerd.
Naast de kritieke kwetsbaarheid, de nieuwe versies die zijn uitgebracht, bevatten ook oplossingen voor 6 minder gevaarlijke kwetsbaarheden:
- Een DoS-aanval via het systeem voor het indienen van feedback: een probleem in GitLab CE/EE dat van invloed is op alle versies vanaf 8.15. Het was mogelijk om een DOS te activeren door de wiskundige functie te gebruiken met een specifieke formule in de probleemopmerkingen.
- Andere gebruikers aan groepen toevoegen door een niet-bevoegde gebruiker: die van invloed is op alle versies vóór 14.3.6, alle versies van 14.4 vóór 14.4.4, alle versies van 14.5 vóór 14.5.2. Onder bepaalde voorwaarden kan de GitLab REST API niet-bevoorrechte gebruikers toestaan om andere gebruikers aan groepen toe te voegen, zelfs als dat niet mogelijk is via de web-UI.
- Verkeerde informatie van gebruikers door manipulatie van de inhoud van Snippets: staat een onbevoegde actor toe om fragmenten te maken met misleidende inhoud, die nietsvermoedende gebruikers zouden kunnen misleiden tot het uitvoeren van willekeurige opdrachten
- Lekkage van omgevingsvariabelen via de verzendmethode "sendmail": Door onjuiste invoervalidatie op alle versies van GitLab CE/EE die sendmail gebruiken om e-mails te verzenden, kon een onbevoegde actor omgevingsvariabelen stelen via speciaal vervaardigde e-mailadressen.
- Aanwezigheid van gebruikers bepalen via de GraphQL API: Private GitLab-instanties met beperkte registers kunnen kwetsbaar zijn voor gebruikersopsomming door niet-geverifieerde gebruikers via de GraphQL API
- wachtwoord lekt bij het spiegelen van repositories via SSH in pull-modus
Eindelijk als u er meer over wilt wetenkunt u de details in het volgende link.