13.07.2024 | GitLab: срочное обновление для защиты CI/CD процессов |
GitLab сообщил о критической уязвимости в своих продуктах GitLab Community и GitLab Enterprise, позволяющей злоумышленнику запускать конвейеры от имени любого пользователя. Уязвимость CVE-2024-6385 (оценка CVSS 9.6) затрагивает версии GitLab CE/EE от 15.8 до 16.11.6, 17.0 до 17.0.4 и 17.1 до 17.1.2. Злоумышленник может использовать недостаток для запуска новых пайплайнов от имени произвольного пользователя при определенных условиях, которые GitLab пока не раскрыл. Пайплайны GitLab являются ключевой частью системы Continuous Integration/Continuous Deployment (CI/CD), которая позволяет пользователям автоматически запускать процессы и задачи для сборки, тестирования и развертывания изменений в коде. Потенциально, эксплуатация уязвимости может привести к значительным последствиям, включая компрометацию цепочки поставок, если злоумышленник внедрит вредоносный код в среды CI/CD, скомпрометировав репозитории организации. Компания выпустила обновления для GitLab Community и Enterprise версий 17.1.2, 17.0.4 и 16.11.6, чтобы устранить уязвимость, и настоятельно рекомендует администраторам немедленно обновить все установки до последних версий. |
Проверить безопасность сайта