Er is een kwetsbaarheid geïdentificeerd in GitLab CE/EE, met gevolgen voor alle versies van 16.0 aan 16.5.8, 16.6 aan 16.6.6, 16.7 aan 16.7.4, en 16.8 aan 16.8.1. Door deze fout kunnen geverifieerde gebruikers bestanden naar elke locatie op de GitLab-server schrijven tijdens het proces van het maken van een werkruimte.
Bijgehouden als CVE-2024-0402, de kwetsbaarheid is hoog CVSS-score van 9.9 uit 10, de ernst ervan benadrukken.
CVE-2024-0402: Short Technisch overzicht
Het geïdentificeerde probleem is van invloed op GitLab CE/EE-versies van 16.0 aan 16.5.8, 16.6 aan 16.6.6, 16.7 aan 16.7.4, en 16.8 aan 16.8.1. Hiermee kunnen geverifieerde gebruikers bestanden naar willekeurige locaties op de GitLab-server schrijven tijdens het maken van een werkruimte. GitLab loste het probleem onmiddellijk op met patches, teruggezet naar versies 16.5.8, 16.6.6, 16.7.4, en 16.8.1.
Naast het oplossen van de kritieke fout, GitLab heeft in de nieuwste update vier middelzware kwetsbaarheden aangepakt. Deze omvatten kwetsbaarheden die kunnen leiden tot denial-of-service van reguliere expressies (ReDoS), HTML-injectie, en de onbedoelde openbaarmaking van het openbare e-mailadres van een gebruiker via de RSS-feed van de tags.
Deze vrijlating volgt een eerdere update van GitLab twee weken geleden, waar het DevSecOps-platform twee kritieke tekortkomingen oploste, waarvan er één kan worden misbruikt om accounts over te nemen zonder enige gebruikersinteractie (CVE-2023-7028, CVSS-score: 10.0).
CVE-2023-7028 werd gerapporteerd door beveiligingsonderzoeker 'Asterion’ via het HackerOne bug bounty-platform. Het werd in mei geïntroduceerd 1, 2023, met versie 16.1.0, invloed op verschillende versies, inclusief de voorafgaande 16.7.2. GitLab raadt gebruikers sterk aan om te updaten naar de gepatchte versies (16.7.2, 16.5.6, en 16.6.4) of implementeer de oplossing, die is teruggezet naar versies 16.1.6, 16.2.9, en 16.3.7.
Om potentiële risico’s te beperken, gebruikers wordt sterk aangeraden om hun GitLab-installaties onmiddellijk te upgraden naar de gepatchte versie. Het is opmerkelijk dat GitLab.com en GitLab Dedicated-omgevingen al de nieuwste versie gebruiken, Het onderstreept het belang van het up-to-date houden van software om de beveiligingsmaatregelen te verbeteren en bescherming te bieden tegen opkomende bedreigingen.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: