- 9,471
- 18
- 8 Ноя 2022
Обновите свои установки как можно скорее, чтобы избежать атак на цепочку поставок.
GitLab Для просмотра ссылки Войдиили Зарегистрируйся для устранения критической уязвимости, позволяющей злоумышленникам запускать Для просмотра ссылки Войди или Зарегистрируйся от имени других пользователей через запланированные политики безопасности.
Уязвимость получила идентификатор Для просмотра ссылки Войдиили Зарегистрируйся с оценкой серьёзности 9.6 по шкале CVSS v3.1. Проблема затрагивает GitLab Community Edition (CE) и Enterprise Edition (EE) версий с 13.12 по 16.2.7 и с 16.3 по 16.3.4.
Открытие уязвимости приписывается исследователю безопасности и «охотнику за багами» Для просмотра ссылки Войдиили Зарегистрируйся . По словам GitLab, уязвимость является обходом проблемы средней критичности, отслеживаемой как Для просмотра ссылки Войди или Зарегистрируйся , которая была исправлена в августе.
Карлссон смог обойти реализованные меры защиты и продемонстрировал дополнительный уровень угроз, который и повысил оценку серьёзности проблемы до критической.
Возможность злоумышленников выдавать себя за других пользователей и запускать пайплайны может привести к несанкционированному доступу к конфиденциальной информации, а также к злоупотреблению разрешениями пользователя в системе GitLab. А это, в свою очередь, может привести к потере интеллектуальной собственности, утечке данных, атакам на цепочку поставок и другим высокорисковым сценариям.
Информационный бюллетень GitLab подчёркивает серьёзность уязвимости и призывает пользователей как можно скорее применить доступные обновления безопасности.
«Мы настоятельно рекомендуем всем установкам, работающим на версиях, затронутых описанными проблемами, обновиться до последней версии как можно скорее», — говорится в Для просмотра ссылки Войдиили Зарегистрируйся GitLab.
Решение проблемы доступно в версиях GitLab Community Edition и Enterprise Edition 16.3.4 и 16.2.7. Для пользователей версий до 16.2, которые пока не получили исправления, предлагается не активировать одновременно функции «Прямые передачи» и «Политики безопасности». Если обе функции активны, экземпляр является уязвимым, предупреждают разработчики.
Обновить GitLab можно Для просмотра ссылки Войдиили Зарегистрируйся , а получить пакеты GitLab Runner Для просмотра ссылки Войди или Зарегистрируйся .
GitLab Для просмотра ссылки Войди
Уязвимость получила идентификатор Для просмотра ссылки Войди
Открытие уязвимости приписывается исследователю безопасности и «охотнику за багами» Для просмотра ссылки Войди
Карлссон смог обойти реализованные меры защиты и продемонстрировал дополнительный уровень угроз, который и повысил оценку серьёзности проблемы до критической.
Возможность злоумышленников выдавать себя за других пользователей и запускать пайплайны может привести к несанкционированному доступу к конфиденциальной информации, а также к злоупотреблению разрешениями пользователя в системе GitLab. А это, в свою очередь, может привести к потере интеллектуальной собственности, утечке данных, атакам на цепочку поставок и другим высокорисковым сценариям.
Информационный бюллетень GitLab подчёркивает серьёзность уязвимости и призывает пользователей как можно скорее применить доступные обновления безопасности.
«Мы настоятельно рекомендуем всем установкам, работающим на версиях, затронутых описанными проблемами, обновиться до последней версии как можно скорее», — говорится в Для просмотра ссылки Войди
Решение проблемы доступно в версиях GitLab Community Edition и Enterprise Edition 16.3.4 и 16.2.7. Для пользователей версий до 16.2, которые пока не получили исправления, предлагается не активировать одновременно функции «Прямые передачи» и «Политики безопасности». Если обе функции активны, экземпляр является уязвимым, предупреждают разработчики.
Обновить GitLab можно Для просмотра ссылки Войди
- Источник новости
- www.securitylab.ru
