Критичне оновлення безпеки від GITLAB: усунення вразливостей

Критичне оновлення безпеки від GITLAB: усунення вразливостей

13:03, 19.01.2024

11 січня 2024 року GitLab, провідний постачальник платформи для управління розробкою програмного забезпечення, випустив важливе оновлення безпеки з метою усунення виявлених вразливостей.

Вразливості було виявлено спільнотою користувачів GitLab, які допомогли компанії виправити помилки з механізмами автентифікації, перевірками авторизації в Slack/Mattermost, створенням робочих просторів поза нативним середовищем, зміною метаданих у комітах, та обходом затвердження CODEOWNERS.

У версіях 16.1 до 16.7.2 були помічені проблеми з усіма механізмами автентифікації: навіть користувачі з двофакторною автентифікацією були вразливі на певному рівні. Компанія порекомендувала оновити згаданий діапазон версії та ввімкнути двофакторну аутентифікацію для всіх акаунтів.

З версії 8.13 до 16.7.2 через перевірку авторизації, що погано функціонувала, користувачі могли виконувати команди від імені інших користувачів у Slack і Mattermost. Так само, до 16.7.2 версії існувала можливість створювати робочі простори в групі, до якої ці простори не належать. Це створювало окрему проблему безпеки використання GitLab.

З 12.2 версії відбувалася зміна метаданих підписаних комітів через неправильну перевірку підпису фіксації. Існував також спосіб обходу затвердження CODEOWNERS, починаючи з версії 15.3 і включно з версією 16.7.2.

Здебільшого всі згадані вразливості можна усунути, перейшовши на нову версію GitLab. Проте GitLab також рекомендує ввімкнути двофакторну автентифікацію (2FA) для всіх акаунтів GitLab, перевстановити всі секрети з потенціалом несправностей, та обстежити репозиторії на предмет несанкціонованих змін.

views 3s
views 2
Поділитися

Чи була ця стаття корисною для вас?

Популярні пропозиції VPS

Інші статті на цю тему

cookie

Чи приймаєте ви файли cookie та політику конфіденційності?

Ми використовуємо файли cookie, щоб забезпечити вам найкращий досвід роботи на нашому сайті. Якщо ви продовжуєте користуватися сайтом, не змінюючи налаштувань, вважайте, що ви згодні на отримання всіх файлів cookie на сайті HostZealot.