GitLab – kritična ranjivost
Dana 18. rujna 2023. godine, GitLab je izdao sigurnosnu nadogradnju kako bi otklonio kritičnu ranjivost identificiranu kao CVE-2023-4998, koja, ako bi se iskoristila, omogućava napadaču izvršavanje koda, izmjenu podataka ili pokretanje specifičnih događaja unutar sustava GitLab, što potencijalno može rezultirati gubitkom intelektualnog vlasništva, otkrivanjem osjetljivih podataka, napadima na lanac opskrbe i drugim visokorizičnim scenarijima.
Korisnicima se preporučuje žurno ažuriranje na zadnje dostupne verzije.
Tehnički detalji kritične ranjivosti popravljene ovim ažuriranjem:
Ranjivost CVE-2023-4998 ima CVSS ocjenu 9,6 od 10 i predstavlja zaobilazak popravljene ranjivosti srednje razine rizika identificirane kao CVE-2023-3932. Korištenjem zakazanih politika sigurnosnih skeniranja, autenticiranom napadaču je moguće izvršavati pipelines kao proizvoljni korisnik.
Pipeline zadatci su niz automatiziranih zadataka koji bi mogli omogućiti pristup osjetljivim informacijama, dopustiti korisnicima izvođenje koda, izmjenu podataka ili pokretanje specifičnih događaja.
Zahvaćeni proizvodi:
Ranjivost pogađa GitLab Community Edition (CE) i Enterprise Edition (EE) verzije od 13.12 do 16.2.7 i verzije od 16.3 do 16.3.4.
Ranjivost pogađa i instance verzija starijih od 16.2, ako su istovremeno omogućene značajke "Direktnih prijenosa" i "Sigurnosnih politika" (engl. Direct transfers and Security policies).
Preporuke:
Korisnicima se preporučuje žurna primjena potrebnih zakrpa na najnovije dostupne verzije kako bi zaštitili svoje informacijske sustave od potencijalnih iskorištavanja ranjivosti.
Privremena rješenja:
U situacijama gdje ažuriranje nije moguće za instance koje koriste verzije starije od 16.2, kako bi se ublažile štetne posljedice povezane s navedenom ranjivosti, potrebno je onemogućiti značajke "Direktnih prijenosa" i/ili "Sigurnosnih politika".
Više informacija moguće je pročitati na poveznicama u nastavku:
- https://about.gitlab.com/releases/2023/09/18/security-release-gitlab-16-3-4-released/
- https://www.bleepingcomputer.com/news/security/gitlab-urges-users-to-install-security-updates-for-critical-pipeline-flaw/
- https://nvd.nist.gov/vuln/detail/CVE-2023-3932
- https://docs.gitlab.com/ee/administration/settings/import_and_export_settings.html#enable-migration-of-groups-and-projects-by-direct-transfer
- https://docs.gitlab.com/ee/user/application_security/policies/scan-execution-policies.html
CVSS (engl. Common Vulnerability Scoring System) sustav bodovanja sigurnosnih ranjivosti
0.0 | Bez rizika - Nepostojeća razina rizika
0.1 – 3.9 | Niska razina rizika
4.0 – 6.9 | Srednja razina rizika
7.0 – 8.9 | Značajna razina rizika
9.0 – 10.0 | Kritična razina rizika
[inicijalna obavijest 20.9.2023 - 14:50]
Normativni akti
- Ustav Republike Hrvatske
- Strategija nacionalne sigurnosti
- Zakon o sustavu domovinske sigurnosti
- Zakon o sigurnosno-obavještajnom sustavu RH
- Zakon o tajnosti podataka
- Zakon o informacijskoj sigurnosti
- Uredba o mjerama informacijske sigurnosti
- Nacionalna strategija kibernetičke sigurnosti i Akcijski plan za provedbu Nacionalne strategije kibernetičke sigurnosti
- Zakon o provedbi Uredbe (EU) 2019/881 Europskog parlamenta i Vijeća od 17. travnja 2019. (Zakon o provedbi kibernetičke sigurnosne certifikacije)
- Zakon o kibernetičkoj sigurnosti
- Odluka o provedbi Odluke br. 1104/2011/EU Europskog parlamenta i Vijeća od 25. listopada 2011. o pravilima za pristup javno reguliranoj usluzi koju pruža globalni navigacijski satelitski sustav uspostavljen u sklopu programa Galileo
- Smjernice za postupanje s neklasificiranim podacima