Уязвимость GitLab Create Workspace Write Arbitrary File Overwrite Vulnerability

Компания GitLab выпустила обновление безопасности, устраняющее критическую уязвимость в функции создания рабочих пространств. Уязвимость позволяет авторизованным пользователям записывать произвольные файлы на серверы GitLab, что может привести к утечке данных, заражению вредоносным ПО и другим проблемам безопасности.

Обзор уязвимостей

Компания GitLab в очередной раз выпустила обновление безопасности, устраняющее критическую уязвимость в версиях Community Edition (CE) и Enterprise Edition (EE), которая может быть использована для записи произвольных файлов при создании рабочих пространств.

Этот номер уязвимости CVE-2024-0402Оценка по шкале CVSS составляет 9,9 из 10.

В бюллетене, опубликованном 25 января 2024 года, компания GitLab заявила: "В GitLab CE/EE обнаружена проблема, затрагивающая все версии ниже 16.5.8, 16.6.6, 16.7.4 и 16.8.1, которая позволяет аутентифицированному пользователю записать файл в произвольное место на сервере создания рабочего пространства GitLab. сервера в произвольное место".

Затронутые версии

  • GitLab CE/EE всех версий ниже 16.5.8, 16.6.6, 16.7.4 и 16.8.1

риск безопасности

  • Злоумышленник, успешно воспользовавшийся этой уязвимостью, может записать произвольные файлы на сервере GitLab, чтобы внедрить вредоносный код, украсть конфиденциальные данные или дестабилизировать систему.

Программа реставрации

  • Обновите свой экземпляр GitLab до версии, в которой уязвимость устранена, прямо сейчас:
    • GitLab CE/EE 16.5.8
    • GitLab CE/EE 16.6.6
    • GitLab CE/EE 16.7.4
    • GitLab CE/EE 16.8.1
  • Если немедленное обновление невозможно, примите следующие меры:
    • Ограничивает права пользователей, которые могут создавать рабочие пространства.
    • Внимательно следите за активностью системы и принимайте меры в случае подозрительного поведения.

Оригинальная статья написана Chief Security Officer, при воспроизведении просьба указывать: https://cncso.com/ru/gitlab-workspace-creation-vulnerability-allows-file-overwrite.html.

Нравиться (0)
Предыдущий 29 января 2024 дп7:17
Следующий Вторник, 2 февраля 2024 г. пп6:32

связанное предложение