Nieuws
image

Kritiek GitLab-lek laat aanvaller pipeline als willekeurige gebruiker uitvoeren

donderdag 11 juli 2024, 09:44 door Redactie, 4 reacties

De populaire online DevOps-tool GitLab waarschuwt net als vorige maand voor een kritieke kwetsbaarheid waardoor een aanvaller een pipeline met zijn code als een andere gebruiker kan uitvoeren. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 9.6 en GitLab roept organisaties op om de beschikbaar gestelde update zo snel mogelijk te installeren.

Organisaties kunnen GitLab op hun eigen server of servers installeren. Het probleem is aanwezig in zowel de GitLab Community Edition (CE) als de Enterprise Edition (EE). Via een GitLab pipeline worden verschillende jobs binnen het ontwikkelproces stap voor stap met behulp van geautomatiseerde code uitgevoerd. Wanneer een softwareontwikkelaar nieuwe code aan zijn project op GitLab toevoegt wordt die door de pipeline uitgevoerd, getest en uitgerold.

Via de kwetsbaarheid, aangeduid als CVE-2024-6385, kan een aanvaller zijn jobs als een andere gebruiker laten uitvoeren. Het probleem werd door een externe beveiligingsonderzoeker aan GitLab gemeld. Bij de waarschuwing van vorige maand werd nog gemeld dat er geen misbruik van het beveiligingslek was waargenomen, maar die toevoeging ontbreekt in de waarschuwing van gisterenavond.

Reacties (4)
Reageer met quote
11-07-2024, 09:56 door Anoniem
Ik heb vaker het idee dat ik berichten zie ik ik al ken. Eerder dacht ik dat ik ze misschien via Tweakers of vergelijkbare sites kende,maar deze keer weet ik het zeker:

https://www.security.nl/posting/847891/Kritiek+GitLab-lek+laat+aanvaller+pipeline+als+andere+gebruiker+uitvoeren

Of begreep ik het verkeerd en is dit een soort Friendly Reminder? :)
Reageer met quote
11-07-2024, 11:01 door Anoniem
Door Anoniem: Ik heb vaker het idee dat ik berichten zie ik ik al ken. Eerder dacht ik dat ik ze misschien via Tweakers of vergelijkbare sites kende,maar deze keer weet ik het zeker:

https://www.security.nl/posting/847891/Kritiek+GitLab-lek+laat+aanvaller+pipeline+als+andere+gebruiker+uitvoeren

Of begreep ik het verkeerd en is dit een soort Friendly Reminder? :)

Dit is daadwerkelijk een ander lek, de CVE nummers zijn anders. Die van vorige maand (CVE-2024-5655) is opgelost in 17.1.1, terwijl dit lek (CVE-2024-6385) opgelost is in versie 17.1.2 .

Dus als je een instantie draait, direct weer updaten!
Reageer met quote
11-07-2024, 14:22 door _R0N_
Door Anoniem: Ik heb vaker het idee dat ik berichten zie ik ik al ken. Eerder dacht ik dat ik ze misschien via Tweakers of vergelijkbare sites kende,maar deze keer weet ik het zeker:

https://www.security.nl/posting/847891/Kritiek+GitLab-lek+laat+aanvaller+pipeline+als+andere+gebruiker+uitvoeren

Of begreep ik het verkeerd en is dit een soort Friendly Reminder? :)

Gitlab is eigen zo brak dat het om de week vergelijkbare problemen bevat.
Reageer met quote
12-07-2024, 09:13 door Anoniem
Door _R0N_: Gitlab is eigen zo brak dat het om de week vergelijkbare problemen bevat.
Of het ligt onder een vergrootglas vanwege het eerdere lek, waardoor de kans groter is dat een probleem wat anders onder de radar zou blijven toch ontdekt wordt.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Zoeken
search