Критическое обновление безопасности от GITLAB: устранение уязвимостей

watch 4s
views 2

12:59, 19.01.2024

11 января 2024 года GitLab, ведущий поставщик платформы для управления разработкой программного обеспечения, выпустил важное обновление безопасности с целью устранения выявленных уязвимостей.

Уязвимости были выявлены сообществом пользователей GitLab, которые помогли компании исправить ошибки с механизмами аутентификации, проверками авторизации в Slack/Mattermost, созданием рабочих пространств вне нативной среды, изменением метаданных в комитах, и обходом утверждения CODEOWNERS.

В версиях 16.1 до 16.7.2 были замечены проблемы со всеми механизмами аутентификации: даже пользователи с двухфакторной аутентификацией были уязвимы на определенном уровне. Компания порекомендовала обновить упомянутый диапазон версий и включить двухфакторную аутентификацию для всех аккаунтов.

С версии 8.13 по 16.7.2 з-за плохо функционирующей проверки авторизации пользователи могли выполнять команды от имени других пользователей в Slack и Mattermost. Так же, до 16.7.2 версии существовала возможность создавать рабочие пространства в группе, к которой эти пространства не принадлежат. Это создавало отдельную проблему безопасности использования GitLab.

С 12.2 версии происходило изменение метаданных подписанных комитов из-за неправильной проверки подписи фиксации. Существовал также способ обхода утверждения CODEOWNERS, начиная с версии 15.3 и включая версию 16.7.2.

В основном, все упомянутые уязвимости можно устранить, перейдя на новую версию GitLab. Тем не менее GitLab также рекомендует включать двухфакторную аутентификацию (2FA) для всех аккаунтов GitLab, переустановить все секреты с потенциалом неисправностей, и обследовать репозитории на предмет несанкционированных изменений.

Поделиться

Была ли эта статья полезной для вас?

Популярные предложения VPS

-10%

CPU
CPU
4 Xeon Cores
RAM
RAM
2 GB
Space
Space
60 GB HDD
Bandwidth
Bandwidth
Unlimited
KVM-HDD 2048 Linux

7.7

При оплате за год

-15.4%

CPU
CPU
6 Xeon Cores
RAM
RAM
16 GB
Space
Space
150 GB SSD
Bandwidth
Bandwidth
100 Mbps
DDoS Protected SSD-wKVM 16384 Windows

130

При оплате за год

-10%

CPU
CPU
6 Epyc Cores
RAM
RAM
8 GB
Space
Space
100 GB NVMe
Bandwidth
Bandwidth
Unlimited
Keitaro KVM 8192
OS
CentOS
Software
Software
Keitaro

28.99

При оплате за год

-21.4%

CPU
CPU
6 Xeon Cores
RAM
RAM
8 GB
Space
Space
100 GB SSD
Bandwidth
Bandwidth
500 GB
wKVM-SSD 8192 HK Windows

67

При оплате за год

-10%

CPU
CPU
8 Xeon Cores
RAM
RAM
32 GB
Space
Space
200 GB SSD
Bandwidth
Bandwidth
12 TB
KVM-SSD 32768 Metered Linux

150

При оплате за год

-10%

CPU
CPU
3 Xeon Cores
RAM
RAM
1 GB
Space
Space
20 GB SSD
Bandwidth
Bandwidth
Unlimited
KVM-SSD 1024 Linux

6.6

При оплате за год

-10%

CPU
CPU
3 Epyc Cores
RAM
RAM
2 GB
Space
Space
20 GB NVMe
Bandwidth
Bandwidth
Unlimited
aiKVM-NVMe 2048 Linux

9.14

При оплате за год

-10%

CPU
CPU
4 Xeon Cores
RAM
RAM
4 GB
Space
Space
50 GB SSD
Bandwidth
Bandwidth
Unlimited
KVM-SSD 4096 Linux

15.95

При оплате за год

-20.6%

CPU
CPU
6 Xeon Cores
RAM
RAM
8GB
Space
Space
100GB SSD
Bandwidth
Bandwidth
500GB
KVM-SSD 8192 HK Linux

59

При оплате за год

-10%

CPU
CPU
4 Xeon Cores
RAM
RAM
2 GB
Space
Space
30 GB SSD
Bandwidth
Bandwidth
Unlimited
KVM-SSD 2048 Linux

8.3

При оплате за год

Другие статьи на эту тему

cookie

Принять файлы cookie и политику конфиденциальности?

Мы используем файлы cookie, чтобы обеспечить вам наилучший опыт работы на нашем сайте. Если вы продолжите работу без изменения настроек, мы будем считать, что вы согласны получать все файлы cookie на сайте HostZealot.