by GitLab a publicat o corecție pentru o vulnerabilitate critică de securitate descoperită în două dintre produsele sale, iar utilizatorii sunt sfătuiți să implementeze imediat corecția.
GitLab este un pachet de programe DevOps care permite utilizatorilor să dezvolte, să securizeze și să opereze programe utilizate de echipele de dezvoltatori care trebuie să își gestioneze codul de la distanță și are aproximativ 30 de milioane de utilizatori înregistrați, dintre care un milion de clienți care plătesc.
Compania a descoperit recent un defect de traversare a căilor de acces, identificat ca fiind CVE-2023-2825. Această vulnerabilitate permite atacatorilor neautentificați să citească fișiere arbitrare de pe server.
Ca urmare, persoanele care reprezintă o amenințare ar putea citi date sensibile, cum ar fi coduri de programe proprietare, acreditări ale utilizatorilor și altele, de la puncte terminale vulnerabile.
În acest moment nu sunt disponibile mai multe detalii, GitLab spunând că va da mai multe detalii la o lună după corecția publicată.
Partea bună a lucrurilor
Defectul a primit un scor de severitate de 10/10 și a fost găsit în GitLab Community Edition (CE) și Enterprise Edition (EE) versiunea 16.0.0.
Nu toate versiunile mai vechi sunt afectate, dar GitLab recomandă în continuare utilizatorilor să aplice remedierea și să actualizeze instrumentele la versiunea 16.0.1.
Recomandăm cu tărie ca toate instalațiile care rulează o versiune afectată de problemele descrise mai jos să fie actualizate la cea mai recentă versiune cât mai curând posibil.
a precizat GitLab
Atunci când nu est emenționat niciun tip specific de implementare (omnibus, cod sursă, grafi de ajutor (hel chart) etc.) a unui produs, înseamnă că toate tipurile sunt afectate.
a declarat GitLab
Pentru a exploata acest defect, trebuie să existe un atașament într-un proiect public, care să fie inclus în cel puțin cinci grupuri, au declarat cercetătorii. Partea bună este că aceasta nu este o structură care se găsește în toate proiectele GitLab.
Cu toate acestea, compania a îndemnat pe toată lumea să aplice remedierea, deoarece nu există soluții de rezolvare pentru acest defect și, pur și simplu, sunt prea multe în joc.
Pentru a actualiza GitLab, utilizatorul trebuie să urmeze instrucțiunile de aici.
