ilang araw na nakalipas sa Ang GitLab ay inihayag sa pamamagitan ng isang post sa blog na isiniwalat ng mga mananaliksik ang mga detalye ng isang kahinaan naka-patch na ngayon ang seguridad sa GitLab, isang open source na DevOps software, na maaaring magpapahintulot sa isang hindi napatotohanang malayuang umaatake na kunin ang impormasyong nauugnay sa user.
Ang pangunahing kahinaan, na kung saan ay nakarehistro bilang CVE-2021-4191, ito ay nauugnay sa katamtamang kalubhaan na kapintasan na nakakaapekto sa lahat ng mga bersyon ng GitLab Community Edition at Enterprise Edition mula noong 13.0 at lahat ng mga bersyon mula sa 14.4 at mas maaga kaysa sa 14.8.
Si Jake Baines, isang senior security researcher sa Rapid7, ang kinikilala sa pagtuklas at pag-uulat ng depekto, na pagkatapos ng responsableng pagsisiwalat noong Nobyembre 18, 2021, ay nagkaroon ng mga pag-aayos na inilabas bilang bahagi ng mga kritikal na paglabas ng seguridad. mula sa GitLab 14.8.2, 14.7.4. 14.6.5 at XNUMX na maaaring payagan ang isang hindi awtorisadong user na magmina ng mga token sa pagpaparehistro sa GitLab Runner, na ginagamit upang ayusin ang mga humahawak ng tawag kapag gumagawa ng code ng proyekto sa isang tuluy-tuloy na sistema ng pagsasama.
"Ang kahinaan ay resulta ng isang nawawalang pagsusuri sa pagpapatotoo kapag nagpapatupad ng ilang partikular na kahilingan sa GitLab GraphQL API," sabi ni Baines. nabanggit sa isang ulat na inilabas noong Huwebes. "Maaaring gamitin ng hindi napatotohanang malayuang umaatake ang kahinaang ito upang makuha ang mga nakarehistrong username, pangalan, at email address sa GitLab."
Bukod pa rito, binanggit na kung gumagamit ka ng mga tagapagpatupad ng Kubernetes, dapat mong manual na i-update ang mga value ng Helm chart. gamit ang bagong registration token.
At para sa mga instance na pinamamahalaan ng sarili na wala sa mga bersyon 14.6 o mas bago, ang GitLab ay may naka-post na mga patch na maaaring ilapat upang mabawasan ang pagsisiwalat ng token ng pagpaparehistro ng Runner sa pamamagitan ng kahinaan ng mabilis na pagkilos Ang mga patch na ito ay dapat ituring na pansamantala. Ang anumang instance ng GitLab ay dapat na ma-update sa isang patched na bersyon ng 14.8.2, 14.7.4, o 14.6.5 sa lalong madaling panahon.
Ang matagumpay na pagsasamantala sa pagtagas ng API maaaring payagan ang mga malisyosong aktor na magbilang at mag-compile ng mga listahan ng mga lehitimong username na kabilang sa isang target na maaaring gamitin bilang pambuwelo upang magsagawa ng mga malupit na pag-atake, kabilang ang paghula ng password, pag-spray ng password, at pagpupuno ng kredensyal.
"Ang pagtagas ng impormasyon ay potensyal din na nagpapahintulot sa isang umaatake na lumikha ng isang bagong wordlist ng user batay sa mga pag-install ng GitLab, hindi lamang mula sa gitlab.com kundi pati na rin sa 50,000 iba pang mga pagkakataon sa GitLab na naa-access sa Internet."
Inirerekomenda ito sa mga user na nagpapanatili ng kanilang sariling mga pag-install ng GitLab upang mag-install ng update o maglapat ng patch sa lalong madaling panahon. Naayos ang isyung ito sa pamamagitan ng pag-iiwan ng access sa mga command ng mabilisang pagkilos sa mga user na may pahintulot na Sumulat.
Pagkatapos mag-install ng update o indibidwal na "token-prefix" na mga patch, ang mga dating ginawang registration token para sa mga grupo at proyekto sa Runner ay mare-reset at bubuo muli.
Bilang karagdagan sa kritikal na kahinaan, Kasama rin sa mga bagong bersyon na inilabas ang mga pag-aayos sa 6 na hindi gaanong mapanganib na mga kahinaan:
- Isang pag-atake ng DoS sa pamamagitan ng sistema ng pagsusumite ng feedback: isang isyu sa GitLab CE/EE na nakakaapekto sa lahat ng bersyon simula sa 8.15. Posibleng i-activate ang isang DOS sa pamamagitan ng paggamit ng math function na may partikular na formula sa mga komento ng problema.
- Pagdaragdag ng iba pang mga user sa mga pangkat ng isang hindi may pribilehiyong user: na nakakaapekto sa lahat ng bersyon bago ang 14.3.6, lahat ng bersyon mula sa 14.4 bago ang 14.4.4, lahat ng bersyon mula sa 14.5 bago ang 14.5.2. Sa ilalim ng ilang partikular na kundisyon, maaaring payagan ng GitLab REST API ang mga hindi may pribilehiyong user na magdagdag ng iba pang user sa mga grupo, kahit na hindi iyon posible sa pamamagitan ng web UI.
- Maling impormasyon ng mga user sa pamamagitan ng pagmamanipula ng nilalaman ng Snippet: nagbibigay-daan sa isang hindi awtorisadong aktor na gumawa ng mga Snippet na may mapanlinlang na nilalaman, na maaaring linlangin ang mga hindi mapag-aalinlanganang user na magsagawa ng mga di-makatwirang utos
- Ang pagtagas ng mga variable ng kapaligiran sa pamamagitan ng paraan ng paghahatid ng "sendmail": Ang maling pagpapatunay ng input sa lahat ng bersyon ng GitLab CE/EE gamit ang sendmail upang magpadala ng mga email ay nagbigay-daan sa isang hindi awtorisadong aktor na magnakaw ng mga variable ng kapaligiran sa pamamagitan ng mga espesyal na ginawang email address.
- Pagtukoy sa presensya ng user sa pamamagitan ng GraphQL API: Ang mga pribadong GitLab na instance na may mga pinaghihigpitang registry ay maaaring masugatan sa pagbilang ng user ng mga hindi napatotohanang user sa pamamagitan ng GraphQL API
- tumagas ang password kapag nag-mirror ng mga repository sa pamamagitan ng SSH sa pull mode
Sa wakas kung interesado kang malaman ang tungkol dito, maaari mong suriin ang mga detalye sa sumusunod na link.