Критическое обновление безопасности от GITLAB: устранение уязвимостей

watch 4s
views 2

12:59, 19.01.2024

11 января 2024 года GitLab, ведущий поставщик платформы для управления разработкой программного обеспечения, выпустил важное обновление безопасности с целью устранения выявленных уязвимостей.

Уязвимости были выявлены сообществом пользователей GitLab, которые помогли компании исправить ошибки с механизмами аутентификации, проверками авторизации в Slack/Mattermost, созданием рабочих пространств вне нативной среды, изменением метаданных в комитах, и обходом утверждения CODEOWNERS.

В версиях 16.1 до 16.7.2 были замечены проблемы со всеми механизмами аутентификации: даже пользователи с двухфакторной аутентификацией были уязвимы на определенном уровне. Компания порекомендовала обновить упомянутый диапазон версий и включить двухфакторную аутентификацию для всех аккаунтов.

С версии 8.13 по 16.7.2 з-за плохо функционирующей проверки авторизации пользователи могли выполнять команды от имени других пользователей в Slack и Mattermost. Так же, до 16.7.2 версии существовала возможность создавать рабочие пространства в группе, к которой эти пространства не принадлежат. Это создавало отдельную проблему безопасности использования GitLab.

С 12.2 версии происходило изменение метаданных подписанных комитов из-за неправильной проверки подписи фиксации. Существовал также способ обхода утверждения CODEOWNERS, начиная с версии 15.3 и включая версию 16.7.2.

В основном, все упомянутые уязвимости можно устранить, перейдя на новую версию GitLab. Тем не менее GitLab также рекомендует включать двухфакторную аутентификацию (2FA) для всех аккаунтов GitLab, переустановить все секреты с потенциалом неисправностей, и обследовать репозитории на предмет несанкционированных изменений.

Поделиться

Была ли эта статья полезной для вас?

Популярные предложения VPS

-10%

CPU
CPU
3 Epyc Cores
RAM
RAM
2 GB
Space
Space
25 GB NVMe
Bandwidth
Bandwidth
Unlimited
wKVM-NVMe 2048 Windows

9.9

При оплате за год

-10%

CPU
CPU
4 Xeon Cores
RAM
RAM
2 GB
Space
Space
60 GB HDD
Bandwidth
Bandwidth
Unlimited
KVM-HDD 2048 Linux

7.7

При оплате за год

-9.5%

CPU
CPU
8 Epyc Cores
RAM
RAM
32 GB
Space
Space
200 GB NVMe
Bandwidth
Bandwidth
Unlimited
wKVM-NVMe 32768 Windows

74.49

При оплате за год

-10%

CPU
CPU
3 Epyc Cores
RAM
RAM
2 GB
Space
Space
20 GB NVMe
Bandwidth
Bandwidth
Unlimited
KVM-NVMe 2048 Linux

8.8

При оплате за год

-21.5%

CPU
CPU
2 Xeon Cores
RAM
RAM
2 GB
Space
Space
75 GB SSD
Bandwidth
Bandwidth
300 GB
wKVM-SSD 2048 HK Windows

26

При оплате за год

-20.5%

CPU
CPU
6 Xeon Cores
RAM
RAM
8 GB
Space
Space
100 GB SSD
Bandwidth
Bandwidth
8 TB
KVM-SSD 8192 Metered Linux

57

При оплате за год

-10%

CPU
CPU
6 Epyc Cores
RAM
RAM
8 GB
Space
Space
100 GB NVMe
Bandwidth
Bandwidth
Unlimited
Keitaro KVM 8192
OS
CentOS
Software
Software
Keitaro

28.99

При оплате за год

-10%

CPU
CPU
4 Epyc Cores
RAM
RAM
4 GB
Space
Space
50 GB NVMe
Bandwidth
Bandwidth
Unlimited
KVM-NVMe 4096 Linux

16.45

При оплате за год

-21%

CPU
CPU
6 Xeon Cores
RAM
RAM
8 GB
Space
Space
100 GB SSD
Bandwidth
Bandwidth
8 TB
wKVM-SSD 8192 Metered Windows

65

При оплате за год

-16.3%

CPU
CPU
4 Xeon Cores
RAM
RAM
2 GB
Space
Space
30 GB SSD
Bandwidth
Bandwidth
40 Mbps
DDoS Protected SSD-KVM 2048 Linux

48

При оплате за год

Другие статьи на эту тему

cookie

Принять файлы cookie и политику конфиденциальности?

Мы используем файлы cookie, чтобы обеспечить вам наилучший опыт работы на нашем сайте. Если вы продолжите работу без изменения настроек, мы будем считать, что вы согласны получать все файлы cookie на сайте HostZealot.