Naslovnica » Sigurnosne objave » Ranjivosti u GitLabu

Ranjivosti u GitLabu

Dana 11. rujna 2024., tvrtka GitLab je objavila sigurnosno upozorenje u kojem se adresira nekoliko ranjivosti, od kojih je jedna kritična, a omogućuje napadaču da pod određenim okolnostima pokrene pipeline kao proizvoljni korisnik.

Tehnički detalji ranjivosti nultog dana otklonjenih ovim ažuriranjem:

Kritična ranjivost CVE-2024-6678, (CVSS ocjena 9.9), omogućuje napadaču pokretanje pipeline kao proizvoljni korisnik u određenim okolnostima. GitLab pipelines su značajka sustava za kontinuiranu integraciju/kontinuiranu isporuku (CI/CD) koja korisnicima omogućuje automatsko pokretanje procesa i zadataka, bilo paralelno ili u slijedu, kako bi izgradili, testirali ili implementirali izmjene u kôdu
Ranjivost CVE-2024-8640, (CVSS ocjena 8.5), omogućuje napadaču umetanje naredbi u povezani Cube poslužitelj.
Ranjivost CVE-2024-8635, (CVSS ocjena 7.7), omogućuje napadaču slanje zahtjeva prema internim resursima putem Maven Dependency Proxy prilagođenog URL-a.
Ranjivost CVE-2024-8124, (CVSS ocjena 7.5), omogućuje napadaču izazivanje stanja uskraćivanja usluge (engl. Denial of Service - DoS) slanjem velikog parametra glm_source.

Zahvaćene su sljedeće verzije GitLab CE/EE:

od verzije 8.14 do 17.1.7;
od verzije 17.2, prije verzije 17.2.5;
od verzije 17.3, prije verzije 17.3.2.

Preporuke:

Preporučuje se žurno ažuriranje zahvaćenih GitLab instanci na najnovije dostupne ispravljene verzije.

Više informacija moguće je pročitati na sljedećoj poveznici:

https://about.gitlab.com/releases/2024/09/11/patch-release-gitlab-17-3-2-released/

[inicijalna objava: 16.9.2024 - 09:37]

Ranjivosti u GitLabu

Normativni akti

Sigurnosna akreditacija

Standardi sigurnosti

Kriptografska zaštita

Kibernetička sigurnosna certifikacija

Javno regulirane usluge sustava Galileo