12.10.2024 | 5 критических багов: GitLab теряет контроль над безопасностью |
GitLab выпустила обновления безопасности для версий Community Edition (CE) и Enterprise Edition (EE), закрывающие восемь уязвимостей, включая критическую ошибку, которая может позволить запускать пайплайны CI/CD на произвольных ветках. Одна из уязвимостей, зарегистрированная как CVE-2024-9164, получила рейтинг, близкий к наивысшему — 9.6 из 10 по шкале CVSS . В официальном уведомлении GitLab сообщается, что уязвимость затрагивает версии EE, начиная с 12.5 до 17.2.9, с 17.3 до 17.3.5 и с 17.4 до 17.4.2. Ошибка позволяет запускать пайплайны на неавторизованных ветках репозиториев. Список из семи оставшихся уязвимостей включает четыре проблемы с высоким уровнем опасности, две со средним и одну с низким. Рассмотрим подробнее уязвимости с наивысшим рейтингом:
Оставшиеся три уязвимости позволяют ключам развёртывания изменять архивированные репозитории ( CVE-2024-9623 ), разрешают гостям раскрывать шаблоны проектов через API ( CVE-2024-5005 ), а также дают возможность неавторизованным пользователям определять версию GitLab ( CVE-2024-9596 ). Эти обновления продолжают серию исправлений уязвимостей, связанных с пайплайнами, которые GitLab раскрывает в последние месяцы. Так, в сентябре компания устранила ещё одну критическую уязвимость ( CVE-2024-6678, оценка CVSS: 9.9), которая позволяла запускать задания пайплайнов от имени произвольного пользователя. Ранее были исправлены три похожие уязвимости — CVE-2023-5009, CVE-2024-5655 и CVE-2024-6385 — каждая с оценкой 9.6 по шкале CVSS. На данный момент информации об активной эксплуатации недавно исправленных уязвимостей нет, однако пользователям настоятельно рекомендуется обновить свои версии GitLab для защиты от возможных угроз. |
|
Проверить безопасность сайта
