Обзор уязвимостей
Компания GitLab в очередной раз выпустила обновление безопасности, устраняющее критическую уязвимость в версиях Community Edition (CE) и Enterprise Edition (EE), которая может быть использована для записи произвольных файлов при создании рабочих пространств.
Этот номер уязвимости CVE-2024-0402Оценка по шкале CVSS составляет 9,9 из 10.
В бюллетене, опубликованном 25 января 2024 года, компания GitLab заявила: "В GitLab CE/EE обнаружена проблема, затрагивающая все версии ниже 16.5.8, 16.6.6, 16.7.4 и 16.8.1, которая позволяет аутентифицированному пользователю записать файл в произвольное место на сервере создания рабочего пространства GitLab. сервера в произвольное место".
Затронутые версии
- GitLab CE/EE всех версий ниже 16.5.8, 16.6.6, 16.7.4 и 16.8.1
риск безопасности
- Злоумышленник, успешно воспользовавшийся этой уязвимостью, может записать произвольные файлы на сервере GitLab, чтобы внедрить вредоносный код, украсть конфиденциальные данные или дестабилизировать систему.
Программа реставрации
- Обновите свой экземпляр GitLab до версии, в которой уязвимость устранена, прямо сейчас:
- GitLab CE/EE 16.5.8
- GitLab CE/EE 16.6.6
- GitLab CE/EE 16.7.4
- GitLab CE/EE 16.8.1
- Если немедленное обновление невозможно, примите следующие меры:
- Ограничивает права пользователей, которые могут создавать рабочие пространства.
- Внимательно следите за активностью системы и принимайте меры в случае подозрительного поведения.
Оригинальная статья написана Chief Security Officer, при воспроизведении просьба указывать: https://cncso.com/ru/gitlab-workspace-creation-vulnerability-allows-file-overwrite.html.