Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Kolejny krytyczny błąd załatany w GitLabie
Po dwóch miesiącach od poprzednich problemów, które opisywaliśmy, GitLab wydał kolejne poprawione wersje, zarówno Community Edition, jak i Enterprise Edition, oznaczone numerami 17.3.2, 17.2.5 oraz 17.1.7. Podobnie jak poprzednio, najpoważniejszy błąd, oznaczony symbolem CVE-2024-6678, pozwala – w pewnych okolicznościach, które nie zostały sprecyzowane w ogłoszeniu na stronie GitLab – na zdalne wykonanie tzw. pipeline z uprawnieniami innego użytkownika. Błąd, obecny w wersjach od 8.14 do 17.1.7 (bez tej ostatniej), od 17.2 do 17.2.5 (bez ostatniej) oraz od 17.3 do 17.3.2 (bez ostatniej), został zgłoszony w ramach programu bug bounty HackerOne. Ze względu na brak konieczności interakcji, możliwość zdalnego wykonania oraz niskie uprawnienia potrzebne do przeprowadzenia ataku, błąd został uznany za krytyczny (CVSS 9,9).
Ponadto, nowe wersje zawierają poprawki kilkunastu innych błędów, z czego trzy zostały wycenione na poziomie wysokim:
- CVE-2024-8640 – możliwość wstrzyknięcia poleceń do podłączonego serwera Cube poprzez konfigurację YAML,
- CVE-2024-8635 – możliwość przeprowadzenia Server-Side Request Forgery (SSRF) z wykorzystaniem Maven Dependency Proxy URL,
- CVE-2024-8124 – możliwy atak DoS przez wysłanie dużego parametru ‘glm_source’.
Tradycyjnie zalecamy jak najszybszą aktualizację oprogramowania.
~Paweł Różański
podatnosc jest oparta o wykorzystanie Quick Actions w Gitlabie (to takie specjalne tagi w komentarzach ktorych wstawienie powoduje wykonanie akcji).
Warunkiem który musi byc spełniony to min aby atakujący mógł wstawiać komentarze.
Jednym z wątków jest przypadek że inna osoba edytuje ten spreparowany komentarz i to wywoluje odpalenie pipeline.