Ernstige kwetsbaarheid: Gitlab-update niet in orde
Met een nood-out-of-demand-update repareren Gitlab-ontwikkelaars verschillende kwetsbaarheden, waarvan een gevaarlijk lek aanvallers in staat zou kunnen stellen gebruikersaccounts over te nemen. De makers van Gitlab raden beheerders en gebruikers aan om snel bijgewerkte versies te downloaden en te installeren. Voor het aanbieden van SaaS met projecthosting heeft het project als veiligheidsmaatregel ook alle wachtwoorden gereset.
De nieuwe releases sluiten in totaal 17 kwetsbaarheden, waarvan de ontwikkelaars één als kritiek, twee als hoog risico, negen als gemiddeld en vijf als laag risico hebben beoordeeld. Bugs zijn te vinden in zowel de Community-editie als de Enterprise-editie.
Meerdere zwakke punten
De ernstigste kwetsbaarheid deed zich voor bij het gebruik van OmniAuth-logging, dat wil zeggen met een type single sign-on systeem op basis van OAuth, LDAP of SAML. Accounts die op deze manier zijn gemaakt, krijgen een statisch versleuteld wachtwoord toegewezen, waardoor aanvallers het account kunnen overnemen (CVE-2022-1162, CVSS 9.1risico kritisch).
Op gitlab.com, elke SaaS-versie, resetten projectbeheerders wachtwoorden voor geselecteerde accounts als veiligheidsmaatregel. Bij onderzoek vonden ze geen bewijs dat de kwetsbaarheid daadwerkelijk was uitgebuit.
Bovendien kunnen aanvallers HTML-code in notities invoegen met behulp van zogenaamde cross-site scripting vanwege onvoldoende filtering van gebruikersinvoer (CVE-2022-1175, CVSS). 8.7En de hoog). Vergelijkbare kwetsbaarheid gevonden in verwijzingen van meerdere woorden naar functies in probleembeschrijvingen, opmerkingen, enz. (CVE-2022-1190, CVSS 8.7En de hoog).
Bijgewerkte componenten
Nieuwe versies van Commonmarker, Devise, go-proxyproto, Grafana, Mattermost, Python en Swagger zijn bedoeld om kwetsbaarheden op te vullen. De Gitlab-release-opmerkingen Het bevat ook details van andere beveiligingsupdates en één niet-beveiligingsupdate.
Met nieuwe releases 14.7.7En de 14.8.5 En de 14.9.2 Gitlab-ontwikkelaars werken aan het oplossen van kwetsbaarheden. In de SaaS-demo van gitlab.com zijn de servers al up-to-date met de nieuwe software. Beheerders kunnen kant-en-klare containers en broncode met instructies en opmerkingen vinden op Gitlab-updatepagina. Om te voorkomen dat aanvallers misbruik maken van een kritiek beveiligingslek en andere kwetsbaarheden, moeten IT-beheerders de update onmiddellijk installeren. In het verleden waren ambtenaren daar erg terughoudend in.
(DMK)
“Coffee fanatic. Gamer. Award-winning zombie aficionado. College student. Hardcore internet proponent. Twitter guru. Subtly charming bacon nerd. Thinker.”