Το GitLab κυκλοφόρησε ενημερώσεις ασφαλείας για την αντιμετώπιση πολλαπλών ελαττωμάτων στην έκδοση Community (CE) και Enterprise Edition (EE), συμπεριλαμβανομένου ενός κρίσιμου ελαττώματος εκτέλεσης αυθαίρετων διακλαδώσεων.
Η ευπάθεια, η οποία παρακολουθείται ως CVE-2024-9164επιτρέπει σε μη εξουσιοδοτημένους χρήστες να ενεργοποιούν αγωγούς Συνεχούς Ενσωμάτωσης/Συνεχούς Παράδοσης (CI/CD) σε οποιοδήποτε κλάδο ενός αποθετηρίου.
Οι αγωγοί CI/CD είναι αυτοματοποιημένες διαδικασίες που εκτελούν εργασίες όπως δημιουργία, δοκιμή και ανάπτυξη κώδικα, συνήθως διαθέσιμες μόνο σε χρήστες με τα κατάλληλα δικαιώματα.
Ένας εισβολέας που μπορεί να παρακάμψει τις προστασίες κλάδου θα μπορούσε ενδεχομένως να εκτελέσει την εκτέλεση κώδικα ή να αποκτήσει πρόσβαση σε ευαίσθητες πληροφορίες.
Το ζήτημα, το οποίο έχει λάβει βαθμολογία CVSS v3.1 με 9,6, το χαρακτηρίζει κρίσιμο, επηρεάζει όλες τις εκδόσεις GitLab EE ξεκινώντας από 12.5 και έως 17.2.8, από 17.3 έως 17.3.4 και από 17.4 έως 17.4.1 .
Οι ενημερώσεις κώδικα έχουν γίνει διαθέσιμες στις εκδόσεις 17.4.2, 17.3.5 και 17.2.9, οι οποίες είναι οι στόχοι αναβάθμισης για τους χρήστες του GitLab.
“Συνιστούμε ανεπιφύλακτα όλες οι εγκαταστάσεις που εκτελούν μια έκδοση που επηρεάζεται από τα ζητήματα που περιγράφονται παρακάτω να αναβαθμιστούν στην πιο πρόσφατη έκδοση το συντομότερο δυνατό”, προειδοποιεί Ενημερωτικό δελτίο ασφαλείας του GitLab.
Διευκρινίζεται ότι οι πελάτες του GitLab Dedicated δεν χρειάζεται να προβούν σε καμία ενέργεια, καθώς οι παρουσίες τους που φιλοξενούνται στο cloud τρέχουν πάντα την πιο πρόσφατη διαθέσιμη έκδοση.
Μαζί με το CVE-2024-9164, οι πιο πρόσφατες εκδόσεις του GitLab αντιμετωπίζουν τα παρακάτω ζητήματα ασφαλείας:
Οι αγωγοί GitLab έχουν αποδειχθεί πρόσφατα ότι αποτελούν σταθερή πηγή τρωτών σημείων ασφαλείας για την πλατφόρμα και τους χρήστες της.
Το GitLab αντιμετώπισε αυθαίρετα τρωτά σημεία εκτέλεσης αγωγών πολλές φορές φέτος, όπως το CVE-2024-6678 τον περασμένο μήνα, το CVE-2024-6385 τον Ιούλιο και το CVE-2024-5655 τον Ιούνιο, όλα κρίσιμα.
Για οδηγίες, πηγαίο κώδικα και πακέτα, ανατρέξτε στην επίσημη πύλη λήψης του GitLab. Τα τελευταία πακέτα GitLab Runner είναι διαθέσιμα εδώ.
VIA: bleepingcomputer.com
Η Sony κυκλοφόρησε κατά λάθος το "Hotline Miami 2: Wrong Number" στην Αυστραλία πέρυσι παρά…
Η Qualcomm είναι ένα από τα πιο ευρέως χρησιμοποιούμενα chipset σε συσκευές Android. Πρόσφατα, βρέθηκε…
Στο HP Imagine, η HP ανακοίνωσε τις νεότερες καινοτομίες της εταιρείας, συμπεριλαμβανομένων των AI PCs…
Τα πουλιά είναι καταπληκτικά, αλλά είναι δύσκολο να τα δεις από κοντά. Θα μπορούσατε να…
Οι μεγάλες πολυεθνικές τροφίμων δέχονται πιέσεις εξαιτίας των υποτονικών πωλήσεων και πολλοί όμιλοι προσπαθούν να…
Το «πράσινο φως» έδωσε το Κεντρικό Συμβούλιο Νεωτέρων Μνημείων στο αίτημα για live streaming της συναυλίας…