Zgodnie z doniesieniami portalu The Hacker News, GitLab wypuścił aktualizacje związane z bezpieczeństwem, które naprawiają poważną podatność, umożliwiającą potencjalnym atakującym uruchomienie potoków jako innego użytkownika.
Krytyczna luka GitLab – CVE-2023-5009
Ta krytyczna luka, oznaczona jako CVE-2023-5009 (CVSS: 9,6), wpływa na wszystkie edycje GitLab Enterprise, począwszy od wersji 13.12 aż do 16.2.7, a także od 16.3 do 16.3.4.
Według GitLab, atakujący mieli możliwość uruchomienia potoków jako dowolny użytkownik, wykorzystując strategie zaplanowanego skanowania bezpieczeństwa. Jest to ważne, ponieważ stanowiło to omijanie wcześniejszej luki oznaczonej jako CVE-2023-3932, która również miała znaczący wpływ.
W praktyce, wykorzystanie CVE-2023-5009 mogło dać grupie atakującej dostęp do poufnych danych lub umożliwić podstępnemu użytkownikowi podwyższenie uprawnień w celu zmodyfikowania kodu źródłowego lub uruchomienia dowolnego kodu w systemie, co mogłoby prowadzić do poważnych skutków.
Lukę ujawnił Johan Carlsson (specjalista bezpieczeństwa). Warto wspomnieć, iż CVE-2023-3932 zostało naprawione przez GitLab na początku sierpnia 2023 roku.
Aktualizacje rozwiązujące tę nową lukę zostały udostępnione w wersjach GitLab 16.3.4 i 16.2.7.
Należy podkreślić, iż ta informacja ujawnia się po dwuletnim okresie od krytycznego błędu GitLab, oznaczonego jako CVE-2021-22205 (CVSS: 10,0), który przez cały czas jest aktywnie wykorzystywany przez cyberprzestępców w rzeczywistych atakach.
Niedawno firma Trend Micro poinformowała, iż agresywny cyberprzestępca związany z Chinami, znany jako Earth Lusca, aktywnie atakuje publiczne serwery, wykorzystując luki typu N-day, w tym CVE-2021-22205, do infiltracji sieci ofiar.
W związku z powyższym zdecydowanie zaleca się, aby użytkownicy niezwłocznie zaktualizowali swoje instalacje GitLab do najnowszej wersji, aby zabezpieczyć się przed ewentualnymi zagrożeniami.
GitLab – czym jest?
GitLab to zaawansowana platforma zarządzania kodem źródłowym i cyklem życia projektu, która umożliwia programistom, zespołom deweloperskim i organizacjom skuteczne tworzenie, zarządzanie i śledzenie projektów oprogramowania. Jest to narzędzie typu DevOps, które integruje w sobie różne etapy procesu tworzenia oprogramowania, takie jak kodowanie, testowanie, dostarczanie i monitorowanie.
GitLab oferuje szeroki zakres funkcji, w tym system kontroli wersji oparty na systemie Git, zarządzanie zadaniemi, ciągłą integrację i dostawę (CI/CD), oraz narzędzia do śledzenia błędów i analizy kodu.
Platforma ta może być wdrożona zarówno w chmurze, jak i na własnych serwerach, co daje użytkownikom elastyczność i kontrolę nad swoimi projektami. GitLab jest popularnym narzędziem w środowisku programistycznym i pomaga zespołom w efektywnym tworzeniu i dostarczaniu oprogramowania.