Waxaa go'an nuglaanta GitLab taas oo u oggolaanaysa gelitaanka calaamadaha Runner

Darkcrizt

Daqiiqado 4

dhowr maalmood ka hor in GitLab waxaa lagu daah-furay barta blog-ka in cilmi-baarayaashu ay shaaca ka qaadeen faahfaahinta nuglaanshaha ammaanka hadda lagu dhejiyay GitLab, oo ah il furan software DevOps, kaas oo u oggolaan kara weeraryahan fog oo aan la hubin inuu soo ceshado macluumaadka la xiriira isticmaalaha.

Nuglaanta ugu weyn, taas oo ah mar hore u diiwaan gashan sida CVE-2021-4191, waxaa loo aaneynayaa cilladda dhexdhexaadka ah ee saameeya dhammaan noocyada GitLab Daabacaadda Bulshada iyo Daabacaadda Ganacsiga ilaa 13.0 iyo dhammaan noocyada 14.4 iyo ka hor 14.8.

Waxay ahayd Jake Baines, oo ah cilmi-baare sare oo dhinaca amniga ah oo jooga Rapid7, kaas oo lagu tiriyaa soo saarista iyo ka warbixinta cilladda, kaasoo ka dib markii mas'uulka ka ahaa siidaynta Noofembar 18, 2021, la siidaayay hagaajinta iyada oo qayb ka ah sii deynta amniga muhiimka ah. laga bilaabo GitLab 14.8.2, 14.7.4. 14.6.5 iyo XNUMX oo ah waxay u oggolaan kartaa isticmaale aan la fasixin inuu ku sameeyo calaamada diiwaangelinta GitLab Runner, kaas oo loo isticmaalo in lagu abaabulo hagayaasha wacitaanka marka la abuurayo koodka mashruuca ee nidaamka isdhexgalka joogtada ah.

"Nuglaanshaha waa natiijada hubinta aqoonsiga maqan marka la fulinayo qaar ka mid ah codsiyada GitLab GraphQL API," Baines ayaa yidhi. ayaa lagu sheegay warbixin la soo saaray Khamiistii. "Weeraryahan fog oo aan la xaqiijin ayaa u isticmaali kara nuglaantan si uu u goosto GitLab magacyada isticmaaleyaasha, magacyada iyo cinwaannada iimaylka ee diiwaangashan."

Intaa waxaa dheer, waxaa la sheegay in haddii aad isticmaalayso Kubernetes fuliyeyaasha, waa inaad gacanta ku cusboonaysiisaa qiyamka shaxda Helm. oo wata calaamada diiwaangelinta cusub. 

Taasna xaaladaha is-maamulka ah ee aan ku jirin noocyada 14.6 ama ka dambeeya, GitLab waxay leedahay dhejisyo dhejis ah taas oo lagu dabaqi karo si loo yareeyo siidaynta calaamada diiwaangelinta Orodyahanka iyada oo loo marayo baylahda falalka degdega ah  Xirmooyinkan waa in loo tixgeliyaa ku meel gaar. Tusaal kasta oo GitLab ah waa in lagu cusboonaysiiyaa nooca la dhejiyay ee 14.8.2, 14.7.4, ama 14.6.5 sida ugu dhakhsaha badan.

Ka faa'iidaysiga daadinta API ee guulaystay waxay u ogolaan kartaa jilayaasha xaasidnimada ah inay tiriyaan oo ay ururiyaan liisaska isticmaalayaasha sharciga ah ee ka tirsan bartilmaameedka Kaas oo markaa loo isticmaali karo sidii guga si loo fuliyo weerarrada xoogga ah, oo ay ku jiraan qiyaasida erayga sirta ah, buufinta erayga sirta ah, iyo walxaha aqoonsiga.

"Xukunka macluumaadka ayaa sidoo kale suurtogal u ah inuu u ogolaado weeraryahan inuu abuuro liiska ereyada cusub ee isticmaala GitLab, ma aha oo kaliya gitlab.com laakiin sidoo kale 50,000 oo kale oo internetka ah oo GitLab ah."

Waxaa lagu talinayaa isticmaalayaasha ilaaliya rakibaadda GitLab ee iyaga u gaar ah si aad u rakibto cusbooneysiin ama aad u codsato balastar sida ugu dhakhsaha badan. Arrinkan waxaa lagu xalliyay iyadoo looga tagay gelitaanka amarada ficilka degdegga ah oo keliya isticmaalayaasha ogolaanshaha Qor.

Ka dib marka la rakibo cusbooneysiinta ama dhejisyada "token-prefix", horay loo sameeyay calaamadihii diiwaangelinta ee kooxaha iyo mashaariicda Runner waa dib loo dajin doonaa oo dib ayaa loo soo saari doonaa.

Waxa dheer baylahda halista ah, Noocyada cusub ee la sii daayay waxa kale oo ka mid ah hagaajinta 6 dayacan oo khatar yar:

  • Weerar DoS ah iyada oo loo marayo nidaamka soo gudbinta jawaab celinta: Arrin ku jira GitLab CE/EE oo saameeya dhammaan noocyada laga bilaabo 8.15. Waxa suurtogal ahayd in la dhaqaajiyo DOS iyada oo la isticmaalayo shaqada xisaabta oo leh qaacido gaar ah oo ku jira faallooyinka dhibaatada.
  • Ku darida isticmaalayaasha kale kooxaha ee isticmaalaha aan mudnaanta lahayn: kaas oo saameeya dhammaan noocyada ka hor 14.3.6, dhammaan noocyada laga bilaabo 14.4 ka hor 14.4.4, dhammaan noocyada 14.5 ka hor 14.5.2. Shuruudaha qaarkood, GitLab REST API waxay u oggolaan kartaa isticmaalayaasha aan mudnaanta lahayn inay ku daraan isticmaalayaasha kale kooxaha, xitaa haddii taasi aysan suurtagal ahayn iyada oo loo marayo shabkada UI.
  • Macluumaad khaldan oo isticmaalayaasha iyada oo la adeegsanayo wax-is-daba-marinta waxa ku jira Qaybaha Gooska: Waxay u ogolaataa jilaa aan la ogalayn inuu abuuro Snippets oo leh waxyaabo khiyaano leh, taas oo khiyaanayn karta isticmaalayaasha aan ka shakin inay fuliyaan amarrada aan sabab lahayn.
  • Bixinta doorsoomayaasha deegaanka iyadoo loo sii marayo habka gaarsiinta "sendmail": Ansixinta gelinta khaldan ee dhammaan noocyada GitLab CE/EE iyadoo la adeegsanayo diritaanka si loogu diro iimaylo ayaa loo oggolaaday jilaa aan la ogalayn inuu ka xado doorsoomayaasha deegaanka isagoo adeegsanaya cinwaanno iimayl si gaar ah loo farsameeyay.
  • Go'aaminta joogitaanka isticmaale ee GraphQL API: Tusaalooyinka gaarka ah ee GitLab ee leh diiwaanada xaddidan ayaa laga yaabaa inay u nuglaadaan xisaabinta isticmaalayaasha isticmaalayaasha aan la aqoonsan ee GraphQL API
  • furaha sirta ah ayaa daadanaya marka la milicsanayo meelaha kaydka ah ee loo maro SSH ee qaabka jiidista 

Finalmente hadaad xiisaynayso inaad waxbadan ka ogaato, waxaad ka eegi kartaa faahfaahinta xiriirka soo socda.


Ka tag faalladaada

cinwaanka email aan la daabacin doonaa. Beeraha loo baahan yahay waxaa lagu calaamadeeyay la *

*

*

  1. Ka mas'uul ah xogta: AB Internet Networks 2008 SL
  2. Ujeedada xogta: Xakamaynta SPAM, maaraynta faallooyinka.
  3. Sharci: Oggolaanshahaaga
  4. Isgaarsiinta xogta: Xogta looma gudbin doono dhinacyada saddexaad marka laga reebo waajibaadka sharciga ah.
  5. Kaydinta xogta: Macluumaadka ay martigelisay Shabakadaha Occentus (EU)
  6. Xuquuqda: Waqti kasta oo aad xadidi karto, soo ceshan karto oo tirtiri karto macluumaadkaaga.