Ernstige kwetsbaarheid: Gitlab-update niet in orde

Met een nood-out-of-demand-update repareren Gitlab-ontwikkelaars verschillende kwetsbaarheden, waarvan een gevaarlijk lek aanvallers in staat zou kunnen stellen gebruikersaccounts over te nemen. De makers van Gitlab raden beheerders en gebruikers aan om snel bijgewerkte versies te downloaden en te installeren. Voor het aanbieden van SaaS met projecthosting heeft het project als veiligheidsmaatregel ook alle wachtwoorden gereset.

De nieuwe releases sluiten in totaal 17 kwetsbaarheden, waarvan de ontwikkelaars één als kritiek, twee als hoog risico, negen als gemiddeld en vijf als laag risico hebben beoordeeld. Bugs zijn te vinden in zowel de Community-editie als de Enterprise-editie.

De ernstigste kwetsbaarheid deed zich voor bij het gebruik van OmniAuth-logging, dat wil zeggen met een type single sign-on systeem op basis van OAuth, LDAP of SAML. Accounts die op deze manier zijn gemaakt, krijgen een statisch versleuteld wachtwoord toegewezen, waardoor aanvallers het account kunnen overnemen (CVE-2022-1162, CVSS 9.1risico kritisch).

Op gitlab.com, elke SaaS-versie, resetten projectbeheerders wachtwoorden voor geselecteerde accounts als veiligheidsmaatregel. Bij onderzoek vonden ze geen bewijs dat de kwetsbaarheid daadwerkelijk was uitgebuit.

Bovendien kunnen aanvallers HTML-code in notities invoegen met behulp van zogenaamde cross-site scripting vanwege onvoldoende filtering van gebruikersinvoer (CVE-2022-1175, CVSS). 8.7En de hoog). Vergelijkbare kwetsbaarheid gevonden in verwijzingen van meerdere woorden naar functies in probleembeschrijvingen, opmerkingen, enz. (CVE-2022-1190, CVSS 8.7En de hoog).

Nieuwe versies van Commonmarker, Devise, go-proxyproto, Grafana, Mattermost, Python en Swagger zijn bedoeld om kwetsbaarheden op te vullen. De Gitlab-release-opmerkingen Het bevat ook details van andere beveiligingsupdates en één niet-beveiligingsupdate.

READ  Windows 11: Verkenner krijgt nieuwe functies

Met nieuwe releases 14.7.7En de 14.8.5 En de 14.9.2 Gitlab-ontwikkelaars werken aan het oplossen van kwetsbaarheden. In de SaaS-demo van gitlab.com zijn de servers al up-to-date met de nieuwe software. Beheerders kunnen kant-en-klare containers en broncode met instructies en opmerkingen vinden op Gitlab-updatepagina. Om te voorkomen dat aanvallers misbruik maken van een kritiek beveiligingslek en andere kwetsbaarheden, moeten IT-beheerders de update onmiddellijk installeren. In het verleden waren ambtenaren daar erg terughoudend in.


(DMK)

naar de startpagina

Geef een antwoord

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *