Η GitLab ενθαρρύνει τους χρήστες να εγκαταστήσουν ενημερώσεις ασφαλείας γιατί εντοπίστηκε κρίσιμη ευπάθεια pipeline.

Δείτε επίσης: Clorox: Η πρόσφατη κυβερνοεπίθεση επηρεάζει ακόμα τις δραστηριότητές της

Το GitLab κυκλοφόρησε ενημερώσεις ασφαλείας για να αντιμετωπίσει μια κρίσιμη ευπάθεια που επιτρέπει στους επιτιθέμενους να εκτελούν pipelines ως άλλους χρήστες μέσω προγραμματισμένων πολιτικών security scan.

Το GitLab είναι ένα δημοφιλές διαδικτυακό λογισμικό ανοικτού κώδικα για τη διαχείριση έργων και την παρακολούθηση εργασιών, προσφέροντας μια δωρεάν και εμπορική έκδοση.

Το ελάττωμα εκχωρήθηκε σε CVE-2023-4998 (βαθμολογία CVSS v3.1: 9.6) και επηρεάζει τις εκδόσεις GitLab Community Edition (CE) και Enterprise Edition (EE) εκδόσεις 13.12 έως 16.2.7 και εκδόσεις 16.3 έως 16.3.4.

Το πρόβλημα ανακαλύφθηκε από τον ερευνητή ασφάλειας και κυνηγό σφαλμάτων Johan Carlsson, τον οποίο η GitLab αναφέρει ότι αποτελεί απόκλιση ενός προβλήματος μέτριας σοβαρότητας που εντοπίστηκε ως CVE-2023-3932 και διορθώθηκε τον Αύγουστο.

Δείτε επίσης: Βρετανία: Ζητά από τη Meta να μην εφαρμόσει end-to-end κρυπτογράφηση σε Instagram και Messenger

Ο ερευνητής ανακάλυψε έναν τρόπο για να ξεπεράσει τις υλοποιημένες προστασίες και απέδειξε μια επιπλέον επίδραση που αύξησε τη βαθμολογία σοβαρότητας της ελάττωσης σε κρίσιμο επίπεδο.

Η προσπάθεια να προσωποποιηθούν χρήστες χωρίς τη γνώση ή την άδειά τους για την εκτέλεση εργασιών αυτοματοποιημένων διαδικασιών (pipeline tasks) μπορεί να οδηγήσει στην πρόσβαση από επιτιθέμενους σε ευαίσθητες πληροφορίες ή στην κατάχρηση των δικαιωμάτων του προσωποποιημένου χρήστη για την εκτέλεση κώδικα, την τροποποίηση δεδομένων ή την πρόκληση συγκεκριμένων γεγονότων εντός του συστήματος GitLab.

Λαμβάνοντας υπόψη ότι το GitLab χρησιμοποιείται για τη διαχείριση του κώδικα, μια τέτοια παραβίαση θα μπορούσε να οδηγήσει σε απώλεια πνευματικής ιδιοκτησίας, επικίνδυνες διαρροές δεδομένων, επιθέσεις στην αλυσίδα εφοδιασμού και άλλα υψηλού κινδύνου σενάρια.

Το δελτίο του GitLab υπογραμμίζει τη σοβαρότητα της ευπαθείας και ενθαρρύνει τους χρήστες να εφαρμόσουν τις διαθέσιμες ενημερώσεις ασφαλείας άμεσα.

Δείτε επίσης: Εντείνονται οι επιθέσεις phishing κατά των Celsius Network Creditors

Οι εκδόσεις που επιλύουν το CVE-2023-4998 είναι το GitLab Community Edition και το Enterprise Edition 16.3.4 και 16.2.7.

Για τους χρήστες προηγούμενων εκδόσεων πριν από την 16.2, οι οποίοι δεν έχουν λάβει επιδιορθώσεις για το πρόβλημα ασφαλείας, η προτεινόμενη μείωση των κινδύνων είναι να αποφεύγουν τα “Direct transfers” και “Security policies” να είναι ενεργοποιημένα ταυτόχρονα.

Οι χρήστες μπορούν να ενημερώσουν το GitLab από εδώ ή να αποκτήσουν πακέτα του GitLab Runner από αυτήν την επίσημη ιστοσελίδα.

Πηγή πληροφοριών: bleepingcomputer.com