Критическая ошибка GitLab позволяет злоумышленникам запускать конвейеры от имени любого пользователя

Критическая уязвимость затрагивает некоторые версии продуктов GitLab Community и Enterprise Edition, которые могут быть использованы для запуска конвейеров от имени любого пользователя.
Критическая ошибка GitLab позволяет злоумышленникам запускать конвейеры от имени любого пользователя

Критическая ошибка GitLab позволяет злоумышленникам запускать конвейеры от имени любого пользователя. Фото: СС0

GitLab — это популярная веб-платформа с открытым исходным кодом для управления проектами и отслеживания работы. По оценкам, у него около миллиона активных пользователей лицензий.

Проблема безопасности, устраненная в последнем обновлении, отслеживается как CVE-2024-5655 и имеет оценку серьезности 9,6 из 10. При определенных обстоятельствах, которые поставщик не раскрывает, злоумышленник может воспользоваться ею, чтобы запустить конвейер от имени другого пользователя.

Конвейеры GitLab — это функция системы непрерывной интеграции/непрерывного развертывания (CI/CD), которая позволяет пользователям автоматически запускать процессы и задачи, как параллельно, так и последовательно, для сборки, тестирования или развертывания изменений кода.

Уязвимость затрагивает все версии GitLab CE/EE с 15.8 по 16.11.4, с 17.0.0 по 17.0.2 и с 17.1.0 по 17.1.0.

В GitLab устранили уязвимость, выпустив версии 17.1.1, 17.0.3 и 16.11.5, и рекомендует пользователям как можно скорее установить обновления.

Поставщик также сообщает, что обновление до последних версий содержит два критических изменения, о которых следует знать пользователям:

Pipelines больше не будут запускаться автоматически, когда запрос на слияние перенацеливается после слияния его предыдущей целевой ветви. Пользователи должны вручную запустить конвейер, чтобы выполнить CI для своих изменений.

CI_JOB_TOKEN теперь отключен по умолчанию для аутентификации GraphQL, начиная с версии 17.0.0, с этим изменением, перенесенным в версии 17.0.3 и 16.11.5. Чтобы получить доступ к API GraphQL, пользователям необходимо настроить один из поддерживаемых типов токенов для аутентификации.

Последнее обновление GitLab также исправляет 13 других проблем, серьезность трех из которых оценивается как «высокая».

Startpack подготовил список облачных сервисов для программистов и разработчиков для повышения эффективности труда, совместной разработке и аналитики качества кода. Системы для планирования спринтов и этапов разработки с распределением полномочий, назначением конкретных задач и сроков. Автоматические решения по тестированию написанного кода и снижения количества ошибок в создаваемое программном обеспечении. Системы контроля версий, а также масштабирования приложений на популярных сетевых платформах.

Статьи по теме

Упомянутый сервис

GitLab Платформа для управления репозиториями, тестирования и развертывания кода с отслеживанием задач.
Платформа для управления репозиториями, тестирования и развертывания кода с отслеживанием задач.

Больше интересного

Актуальное

В GitLab представили инструмент автоматизированной разработки на базе искусственного интеллекта Duo Workflow
В Figma внедрили функцию создания слайд-шоу и презентаций
NordVPN первым получил антифишинговый сертификат
Ещё…