GitLab выпустила обновления безопасности для своих изданий Community и Enterprise для устранения двух критических уязвимостей. Одна из них позволяет осуществить взлом учетной записи без участия пользователя.
Платформа рекомендует немедленно обновить все уязвимые версии для локальных установок DevSecOps. Предупреждается, что уязвимости затрагивают все типы развертываний продукта.
Одна из устраненных уязвимостей имеет максимальный уровень серьезности (10 из 10) и известна как CVE-2023-7028. Это проблема аутентификации, позволяющая направлять запросы на сброс пароля на любые адреса электронной почты без проверки.
Взлом учетной записи GitLab представляет угрозу не только в виде доступа к конфиденциальной информации, но и возможности атаки на цепочку поставок, включая внедрение вредоносного кода в интеграционные и развертывающие среды.
Исследователь безопасности из компании Asterion первым сообщил о проблеме через платформу HackerOne 1 мая 2023 года. Уязвимые версии GitLab включают в себя от 16.1 до 16.1.5, от 16.2 до 16.2.8, от 16.3 до 16.3.6, от 16.4 до 16.4.4, от 16.5 до 16.5.6, от 16.6 до 16.6.4 и от 16.7 до 16.7.2.
Исправления были внедрены в версиях 16.7.2, 16.5.6, 16.6.4, а также в последующих обновлениях 16.1.6, 16.2.9 и 16.3.7. GitLab заявила, что не зафиксирована активная эксплуатация CVE-2023-7028, но опубликовала инструкции для выявления признаков компрометации учетных записей.
Другая критическая уязвимость, обозначенная как CVE-2023-5356 с оценкой серьезности 9,6 из 10, позволяет злоумышленникам использовать уязв
имость интеграции Slack/Mattermost для выполнения команд от имени других пользователей. В Mattermost это позволяет интегрировать сторонние приложения в рабочую среду, а в Slack эти команды действуют как быстрые команды для вызова приложений.
В обновлении GitLab 16.7.2 также исправлены дополнительные уязвимости:
- CVE-2023-4812, позволяющая обходить одобрение изменений в репозиториях без согласования с CODEOWNERS путём модификации одобренных ранее запросов на слияние.
- CVE-2023-6955, дающая возможность создавать рабочие пространства в одной группе, связанные с агентом из другой группы.
- CVE-2023-2030, связанная с неправильной проверкой подписей, что позволяет изменять метаданные подписанных коммитов.
GitLab подчеркивает важность обновления всех уязвимых версий и предоставляет рекомендации администраторам для проверки логов на предмет подозрительной активности. Они должны осмотреть gitlab-rails/production_json.log на наличие HTTP-запросов к адресу /users/password с параметром params.value.email, содержащим массив JSON с несколькими электронными адресами. Также рекомендуется проверить gitlab-rails/audit_json.log на записи с meta.caller.id из PasswordsController#create и target_details, состоящие из массива JSON с множеством адресов электронной почты.
Помимо упомянутых уязвимостей, в GitLab 16.7.2 были устранены и другие недостатки безопасности, повышая уровень защиты и обеспечивая надежность платформы.


