Обновление GitLab устраняет уязвимость выполнения конвейера

Компания GitLab выпустила критические обновления безопасности для устранения нескольких уязвимостей, в том числе дефекта высокой степени серьезности, который может позволить злоумышленникам запускать задания конвейера от имени произвольного пользователя.

Компания настоятельно рекомендует всем установщикам GitLab немедленно обновиться до последних версий: 17.1.2, 17.0.4 или 16.11.6 для версий Community Edition (CE) и Enterprise Edition (EE).

Наиболее критичная уязвимость (CVE-2024-6385) затрагивает GitLab версий с 15.8 по 17.1.1. Этот недостаток, получивший оценку CVSS 9.6, может позволить злоумышленнику при определенных обстоятельствах запустить конвейер от имени другого пользователя. О проблеме сообщил пользователь под ником yvvdwf в рамках программы вознаграждения за ошибки HackerOne от GitLab.

Помимо критического дефекта, GitLab устранила несколько других проблем безопасности:

• Уязвимость средней степени тяжести (CVE-2024-5257), позволяющая разработчикам с правами admin_compliance_framework изменять URL-адреса групп.
• Проблема низкой степени серьезности (CVE-2024-5470), когда пользователи с правами admin_push_rules могли создавать токены развертывания на уровне проекта.
• Уязвимость в реестре пакетов (CVE-2024-6595), связанная с путаницей манифестов в пакетах NPM.
• Уязвимость низкой степени серьезности (CVE-2024-2880), позволяющая пользователям с правами admin_group_member запрещать членов группы.
• Уязвимость захвата субдомена (CVE-2024-5528) в GitLab Pages.
• На сайтах GitLab.com и GitLab Dedicated уже установлены исправленные версии. Компания подчеркивает важность соблюдения правил безопасности и рекомендует всем клиентам обновиться до последнего патча для поддерживаемой версии.

Эти исправления безопасности являются частью запланированного цикла выпуска патчей GitLab, который предусматривает выпуск патчей дважды в месяц во вторую и четвертую среду. Для уязвимостей высокой степени серьезности GitLab также выпускает специальные критические исправления.

Компания заявляет, что проблемы с подробным описанием каждой уязвимости будут опубликованы на их трекере проблем через 30 дней после релиза, в котором они были исправлены. Такой подход позволяет пользователям успеть обновиться до того, как детали потенциальных эксплойтов станут широко известны.

Помимо исправлений безопасности, последние релизы содержат различные исправления ошибок и улучшения в различных компонентах GitLab, таких как Git, MailRoom, конвейеры CI/CD и интеграция Redis.

Рэй Келли, научный сотрудник Synopsys Software Integrity Group, сказал:

"В современном быстро меняющемся мире DevSecOps любое упоминание об уязвимости в функциональности конвейера может заставить волосы на шее встать дыбом. Если конвейер взломан, программное обеспечение может быть изменено с помощью вредоносного ПО, бэкдоров или использовано для кражи частной информации организаций.

Это сложно обнаружить, поскольку сканирование безопасности обычно проводится на более ранних этапах SDLC. Учитывая недавние громкие случаи взлома цепочек поставок, становится ясно, что организациям необходимо немедленно исправлять уязвимости, чтобы не дать угрозам скомпрометировать их программное обеспечение.

Кроме того, внедрение сканирования безопасности на этапе разработки может помочь обнаружить проблемы до их развертывания".

Как всегда, пользователям рекомендуется следовать передовым методам защиты своих экземпляров GitLab и как можно скорее обновляться, чтобы снизить потенциальные риски.