Критическое обновление безопасности от GITLAB: устранение уязвимостей

watch 4s
views 2

12:59, 19.01.2024

11 января 2024 года GitLab, ведущий поставщик платформы для управления разработкой программного обеспечения, выпустил важное обновление безопасности с целью устранения выявленных уязвимостей.

Уязвимости были выявлены сообществом пользователей GitLab, которые помогли компании исправить ошибки с механизмами аутентификации, проверками авторизации в Slack/Mattermost, созданием рабочих пространств вне нативной среды, изменением метаданных в комитах, и обходом утверждения CODEOWNERS.

В версиях 16.1 до 16.7.2 были замечены проблемы со всеми механизмами аутентификации: даже пользователи с двухфакторной аутентификацией были уязвимы на определенном уровне. Компания порекомендовала обновить упомянутый диапазон версий и включить двухфакторную аутентификацию для всех аккаунтов.

С версии 8.13 по 16.7.2 з-за плохо функционирующей проверки авторизации пользователи могли выполнять команды от имени других пользователей в Slack и Mattermost. Так же, до 16.7.2 версии существовала возможность создавать рабочие пространства в группе, к которой эти пространства не принадлежат. Это создавало отдельную проблему безопасности использования GitLab.

С 12.2 версии происходило изменение метаданных подписанных комитов из-за неправильной проверки подписи фиксации. Существовал также способ обхода утверждения CODEOWNERS, начиная с версии 15.3 и включая версию 16.7.2.

В основном, все упомянутые уязвимости можно устранить, перейдя на новую версию GitLab. Тем не менее GitLab также рекомендует включать двухфакторную аутентификацию (2FA) для всех аккаунтов GitLab, переустановить все секреты с потенциалом неисправностей, и обследовать репозитории на предмет несанкционированных изменений.

Поделиться

Была ли эта статья полезной для вас?

Популярные предложения VPS

-10%

CPU
CPU
6 Xeon Cores
RAM
RAM
16 GB
Space
Space
400 GB HDD
Bandwidth
Bandwidth
300 Gb
KVM-HDD HK 16384 Linux

40.99

При оплате за год

-20.5%

CPU
CPU
6 Xeon Cores
RAM
RAM
8 GB
Space
Space
100 GB SSD
Bandwidth
Bandwidth
8 TB
KVM-SSD 8192 Metered Linux

57

При оплате за год

-8.1%

CPU
CPU
6 Xeon Cores
RAM
RAM
8 GB
Space
Space
200 GB HDD
Bandwidth
Bandwidth
Unlimited
wKVM-HDD 8192 Windows

31.25

При оплате за год

-8.9%

CPU
CPU
6 Xeon Cores
RAM
RAM
16 GB
Space
Space
400 GB HDD
Bandwidth
Bandwidth
Unlimited
wKVM-HDD 16384 Windows

56

При оплате за год

-10%

CPU
CPU
4 Xeon Cores
RAM
RAM
2 GB
Space
Space
75 GB SSD
Bandwidth
Bandwidth
Unlimited
wKVM-SSD 2048 Windows

10.23

При оплате за год

-8.8%

CPU
CPU
6 Xeon Cores
RAM
RAM
16 GB
Space
Space
400 GB HDD
Bandwidth
Bandwidth
300 Gb
wKVM-HDD HK 16384 Windows

46.46

При оплате за год

-26.7%

CPU
CPU
3 Xeon Cores
RAM
RAM
1 GB
Space
Space
20 GB SSD
Bandwidth
Bandwidth
1 TB
KVM-SSD 1024 Metered Linux

10

При оплате за год

-10%

CPU
CPU
6 Epyc Cores
RAM
RAM
8 GB
Space
Space
100 GB NVMe
Bandwidth
Bandwidth
Unlimited
aiKVM-NVMe 8192 Linux

27.38

При оплате за год

-15.6%

CPU
CPU
2 Xeon Cores
RAM
RAM
512 MB
Space
Space
10 GB SSD
Bandwidth
Bandwidth
1 TB
KVM-SSD 512 Metered Linux

5.33

При оплате за год

-10%

CPU
CPU
6 Epyc Cores
RAM
RAM
8 GB
Space
Space
100 GB NVMe
Bandwidth
Bandwidth
Unlimited
wKVM-NVMe 8192 Windows

28.99

При оплате за год

Другие статьи на эту тему

cookie

Принять файлы cookie и политику конфиденциальности?

Мы используем файлы cookie, чтобы обеспечить вам наилучший опыт работы на нашем сайте. Если вы продолжите работу без изменения настроек, мы будем считать, что вы согласны получать все файлы cookie на сайте HostZealot.