GitLab – kritična ranjivost

Dana 18. rujna 2023. godine, GitLab je izdao sigurnosnu nadogradnju kako bi otklonio kritičnu ranjivost identificiranu kao CVE-2023-4998, koja, ako bi se iskoristila, omogućava napadaču izvršavanje koda, izmjenu podataka ili pokretanje specifičnih događaja unutar sustava GitLab, što potencijalno može rezultirati gubitkom intelektualnog vlasništva, otkrivanjem osjetljivih podataka, napadima na lanac opskrbe i drugim visokorizičnim scenarijima. 
Korisnicima se preporučuje žurno ažuriranje na zadnje dostupne verzije.

Tehnički detalji kritične ranjivosti popravljene ovim ažuriranjem:
Ranjivost CVE-2023-4998 ima CVSS ocjenu 9,6 od 10 i predstavlja zaobilazak popravljene ranjivosti srednje razine rizika identificirane kao CVE-2023-3932. Korištenjem zakazanih politika sigurnosnih skeniranja, autenticiranom napadaču je moguće izvršavati pipelines kao proizvoljni korisnik. 
Pipeline zadatci su niz automatiziranih zadataka koji bi mogli omogućiti pristup osjetljivim informacijama, dopustiti korisnicima izvođenje koda, izmjenu podataka ili pokretanje specifičnih događaja.

Zahvaćeni proizvodi:
Ranjivost pogađa GitLab Community Edition (CE) i Enterprise Edition (EE) verzije od 13.12 do 16.2.7 i verzije od 16.3 do 16.3.4.
Ranjivost pogađa i instance verzija starijih od 16.2, ako su istovremeno omogućene značajke "Direktnih prijenosa" i "Sigurnosnih politika" (engl. Direct transfers and Security policies).

Preporuke:
Korisnicima se preporučuje žurna primjena potrebnih zakrpa na najnovije dostupne verzije kako bi zaštitili svoje informacijske sustave od potencijalnih iskorištavanja ranjivosti.

Privremena rješenja: 
U situacijama gdje ažuriranje nije moguće za instance koje koriste verzije starije od 16.2, kako bi se ublažile štetne posljedice povezane s navedenom ranjivosti, potrebno je onemogućiti značajke "Direktnih prijenosa" i/ili "Sigurnosnih politika".

Više informacija moguće je pročitati na poveznicama u nastavku:

   CVSS (engl. Common Vulnerability Scoring System) sustav bodovanja sigurnosnih ranjivosti    
                                            0.0              | Bez rizika - Nepostojeća razina rizika
                                            0.1 – 3.9    | Niska razina rizika
                                            4.0 – 6.9    | Srednja razina rizika
                                            7.0 – 8.9    | Značajna razina rizika
                                            9.0 – 10.0  | Kritična razina rizika


[inicijalna obavijest 20.9.2023 - 14:50]