Kritične ranjivosti u GitLabu
Dana 9. listopada 2024. tvrtka GitLab je izdala sigurnosnu objavu o nekoliko kritičnih ranjivosti u GitLab EE/CE verzijama od 8.16 do 17.4.1. Preporučuje se žurno ažuriranje zahvaćenih sustava.
Tehnički detalji značajnih ranjivosti otklonjenih ovim ažuriranjem:
- Ranjivost CVE-2024-9164 (CVSS ocjena 9.6), omogućuje neovlaštenim korisnicima izvršavanje pipelinea na razvojnim varijantama kôda (engl. branch) bez odgovarajućih dozvola, što dovodi do neovlaštenog izvršavanja kôda.
- Ranjivost CVE-2024-8970 (CVSS ocjena 8.2), omogućuje napadaču da pod određenim okolnostima pokrene pipeline kao drugi korisnik, što može rezultirati potencijalno neovlaštenim radnjama.
- Ranjivost CVE-2024-8977 (CVSS ocjena 8.2), predstavlja Server-Side Request Forgery (SSRF) ranjivost u Analytics Dashboardu, omogućujući napadačima neovlašteno slanje mrežnih zahtjeva.
Zahvaćeni proizvodi:
- GitLab CE/EE verzije od 8.16 do 17.4.1.
Preporuke:
Preporučuje se žurna nadogradnja ranjivih verzija sustava na najnoviju dostupnu ispravljenu verziju.
Više informacija moguće je pročitati na poveznicama u nastavku:
- https://about.gitlab.com/releases/2024/10/09/patch-release-gitlab-17-4-2-released/#run-pipelines-on-arbitrary-branches
- https://thehackernews.com/2024/10/new-critical-gitlab-vulnerability-could.html
- https://www.bleepingcomputer.com/news/security/gitlab-warns-of-critical-arbitrary-branch-pipeline-execution-flaw/
[inicijalna objava: 17.10.2024 - 08:09]
Normativni akti
- Ustav Republike Hrvatske
- Strategija nacionalne sigurnosti
- Zakon o sustavu domovinske sigurnosti
- Zakon o sigurnosno-obavještajnom sustavu RH
- Zakon o tajnosti podataka
- Zakon o informacijskoj sigurnosti
- Uredba o mjerama informacijske sigurnosti
- Nacionalna strategija kibernetičke sigurnosti i Akcijski plan za provedbu Nacionalne strategije kibernetičke sigurnosti
- Zakon o provedbi Uredbe (EU) 2019/881 Europskog parlamenta i Vijeća od 17. travnja 2019. (Zakon o provedbi kibernetičke sigurnosne certifikacije)
- Zakon o kibernetičkoj sigurnosti
- Odluka o provedbi Odluke br. 1104/2011/EU Europskog parlamenta i Vijeća od 25. listopada 2011. o pravilima za pristup javno reguliranoj usluzi koju pruža globalni navigacijski satelitski sustav uspostavljen u sklopu programa Galileo
- Smjernice za postupanje s neklasificiranim podacima