GitLab Шрёдингера — просто уязвим или уже взломан? Лучше не проверять

GitLab CVSS пайплайн разработчики цепочка поставок уязвимость
GitLab Шрёдингера — просто уязвим или уже взломан? Лучше не проверять
GitLab CVSS пайплайн разработчики цепочка поставок уязвимость

Обновите свои установки как можно скорее, чтобы избежать атак на цепочку поставок.

image

GitLab выпустил обновления безопасности для устранения критической уязвимости, позволяющей злоумышленникам запускать пайплайны от имени других пользователей через запланированные политики безопасности.

Уязвимость получила идентификатор CVE-2023-4998 с оценкой серьёзности 9.6 по шкале CVSS v3.1. Проблема затрагивает GitLab Community Edition (CE) и Enterprise Edition (EE) версий с 13.12 по 16.2.7 и с 16.3 по 16.3.4.

Открытие уязвимости приписывается исследователю безопасности и «охотнику за багами» Йохану Карлссону . По словам GitLab, уязвимость является обходом проблемы средней критичности, отслеживаемой как CVE-2023-3932 , которая была исправлена в августе.

Карлссон смог обойти реализованные меры защиты и продемонстрировал дополнительный уровень угроз, который и повысил оценку серьёзности проблемы до критической.

Возможность злоумышленников выдавать себя за других пользователей и запускать пайплайны может привести к несанкционированному доступу к конфиденциальной информации, а также к злоупотреблению разрешениями пользователя в системе GitLab. А это, в свою очередь, может привести к потере интеллектуальной собственности, утечке данных, атакам на цепочку поставок и другим высокорисковым сценариям.

Информационный бюллетень GitLab подчёркивает серьёзность уязвимости и призывает пользователей как можно скорее применить доступные обновления безопасности.

«Мы настоятельно рекомендуем всем установкам, работающим на версиях, затронутых описанными проблемами, обновиться до последней версии как можно скорее», — говорится в сообщении GitLab.

Решение проблемы доступно в версиях GitLab Community Edition и Enterprise Edition 16.3.4 и 16.2.7. Для пользователей версий до 16.2, которые пока не получили исправления, предлагается не активировать одновременно функции «Прямые передачи» и «Политики безопасности». Если обе функции активны, экземпляр является уязвимым, предупреждают разработчики.

Обновить GitLab можно здесь , а получить пакеты GitLab Runner вот тут .

Где кванты и ИИ становятся искусством?

На перекрестке науки и фантазии — наш канал

Подписаться

Новости по теме

Брешь в YubiKey Manager или как Microsoft Edge спасает пользователей от взлома

Обновите Netcat CMS: хакеры могут создавать учетные записи админов

Ваш Intel в безопасности? Microsoft подсказывает, как защититься от уязвимости Spectre

Telegram устранил 0day, используемый для удаленного запуска кода

Комментарии в коде как оружие: ошибка в GitLab позволяет скрытно заражать разработчиков

Повторение XZ Utils? Хакеры атаковали OpenJS Foundation

Python-разработчики, внимание: хакеры охотятся на ваш Discord

Progress Flowmon: критическая брешь открывает хакерам двери в 1500+ компаний

Темная сторона EDR: как система защиты становится оружием хакера