Команда GitLab «настоятельно рекомендует» исправить ошибку максимальной серьезности как можно скорее
Команда GitLab «настоятельно рекомендует» исправить ошибку максимальной серьезности как можно скорее. Фото: СС0
GitLab — это веб-репозиторий Git для команд разработчиков, которым необходимо удаленно управлять своим кодом. Платформа имеет около 30 млн зарегистрированных пользователей и один миллион платных клиентов.
Уязвимость была обнаружена исследователем безопасности с ником pwnie. Он сообщил о проблеме в программе HackOne Bug Bounty.
Ошибка влияет на GitLab Community Edition (CE) и Enterprise Edition (EE) версии 16.0.0, но не затрагивает все версии старше.
Недостаток позволяет злоумышленнику, не прошедшему проверку подлинности, читать любые файлы на сервере, когда существует вложение в общедоступном проекте, вложенном как минимум в пять групп.
Эксплуатация CVE-2023-2825 может привести к раскрытию конфиденциальных данных, включая код проприетарного программного обеспечения, учетные данные пользователя, токены, файлы и другую личную информацию.
Вендор раскрыл подробностей, но подчеркнул важность безотлагательного применения последнего обновления безопасности.
Из сообщения компании:
«Мы настоятельно рекомендуем, чтобы все установки, на которых запущена версия, затронутая описанными ниже проблемами, были обновлены до последней версии как можно скорее. Когда не упоминается конкретный тип развертывания (омнибус, исходный код, схема управления и т. д.) продукта, это означает, что затронуты все типы».
Всем пользователям GitLab 16.0.0 рекомендуется как можно скорее обновиться до версии 16.0.1, чтобы снизить риск. К сожалению, в настоящее время нет доступных обходных путей.
Чтобы обновить GitLab, следуйте инструкциям на странице обновления проекта.
Startpack подготовил список антивирусных продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Список содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.
Статьи по теме
Комментариев пока не было