Уязвимость в GitLab, позволяющая получить доступ к токенам Runner

Автор Сообщение
news_bot ®

Стаж: 6 лет 9 месяцев
Сообщений: 27286

Создавать темы news_bot ® написал(а)
27-Фев-2022 10:30

В корректирующих обновлениях платформы для организации совместной разработки GitLab 14.8.2, 14.7.4 и 14.6.5 устранена критическая уязвимость (CVE-2022-0735), позволяющая неавторизированному пользователю извлечь токены регистрации в GitLab Runner, применяемом для организации вызова обработчиков при сборке кода проекта в системе непрерывной интеграции. Детали пока не приводятся, упоминается лишь то, что проблема вызвана утечкой информации при использовании команд Quick Actions.
Проблема выявлена сотрудниками GitLab и охватывает версии с 12.10 по 14.6.5, с 14.7 по 14.7.4, и с 14.8 по 14.8.2.
Пользователям, поддерживающим собственные установки GitLab, рекомендуется как можно скорее установить обновление или применить патч. Проблема устранена через оставление доступа к командам Quick Actions только для пользователей, имеющих полномочие на запись. После установки обновления или отдельных патчей "token-prefix", ранее созданные для групп и проектов токены регистрации в Runner будут сброшены и сгенерированы заново.
Кроме критической уязвимости в новых версиях также устранено 6 менее опасных уязвимостей, которые могут привести к добавлению непривилегированным пользователем других пользователей в группы, дезинформации пользователей через манипуляцию с содержимым Snippet-ов, утечке переменных окружения через метод доставки sendmail, определению наличия пользователей через API GraphQL, утечке паролей при зеркалировании репозиториев по SSH в режиме pull, DoS-атаке через систему отправки комментариев.
===========
Источник:
OpenNet.RU
===========

Похожие новости: Теги для поиска: #_gitlab
Профиль  ЛС 
Показать сообщения:     

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы

Текущее время: 22-Ноя 11:15
Часовой пояс: UTC + 5