Af Eskil Sørensen, 28/06/24
GitLab har onsdag udsendt sikkerhedsrettelser til GitLab Community Edition (CE) og Enterprise Edition (EE), der retter i alt 14 sårbarheder, hvoraf en er kritisk og tre alvorlige.
Det skriver Security Week og Bleeping Computer.
Det mest kritiske har id’et CVE-2024-5655 og en CVSS-score på 9,6. Sårbarheden påvirker GitLab CE/EE-versioner, som er nyere end 15.8, 17.0 og 17.1, og den gør det muligt for en angriber at udløse en pipeline som en anden bruger under visse omstændigheder. Der er tale om en fejl ved den adgangskontrol, som involverer brugen af flere beskyttelsesmekanismer såsom autentificering (beviser på en aktørs identitet), autorisation (som sikrer, at en given aktør kan få adgang til en ressource) og accountability (dvs. sporing af aktiviteter, der er blevet udført)
Fejlen betyder, at mekanismen forhindres i at håndhæve de specificerede adgangskontrolkrav korrekt (f.eks. tillade brugeren at angive privilegier eller tillade en syntaktisk forkert ACL).
De påvirkede produkter er alle versioner fra 15.8 før 16.11.5, versioner startende fra 17.0 før 17.0.3 og versioner startende fra 17.1 før 17.1.1
Der er endnu ingen rapporter om aktiv udnyttelse.
Det anbefales at opdatere i henhold til GitLabs anvisninger (se referencer).
Links:
https://www.securityweek.com/gitlab-security-updates-patch-14-vulnerabilities/
https://about.gitlab.com/releases/2024/06/26/patch-release-gitlab-17-1-1-released/