Критичне оновлення безпеки від GITLAB: усунення вразливостей

11 січня 2024 року GitLab, провідний постачальник платформи для управління розробкою програмного забезпечення, випустив важливе оновлення безпеки з метою усунення виявлених вразливостей.

Вразливості було виявлено спільнотою користувачів GitLab, які допомогли компанії виправити помилки з механізмами автентифікації, перевірками авторизації в Slack/Mattermost, створенням робочих просторів поза нативним середовищем, зміною метаданих у комітах, та обходом затвердження CODEOWNERS.

У версіях 16.1 до 16.7.2 були помічені проблеми з усіма механізмами автентифікації: навіть користувачі з двофакторною автентифікацією були вразливі на певному рівні. Компанія порекомендувала оновити згаданий діапазон версії та ввімкнути двофакторну аутентифікацію для всіх акаунтів.

З версії 8.13 до 16.7.2 через перевірку авторизації, що погано функціонувала, користувачі могли виконувати команди від імені інших користувачів у Slack і Mattermost. Так само, до 16.7.2 версії існувала можливість створювати робочі простори в групі, до якої ці простори не належать. Це створювало окрему проблему безпеки використання GitLab.

З 12.2 версії відбувалася зміна метаданих підписаних комітів через неправильну перевірку підпису фіксації. Існував також спосіб обходу затвердження CODEOWNERS, починаючи з версії 15.3 і включно з версією 16.7.2.

Здебільшого всі згадані вразливості можна усунути, перейшовши на нову версію GitLab. Проте GitLab також рекомендує ввімкнути двофакторну автентифікацію (2FA) для всіх акаунтів GitLab, перевстановити всі секрети з потенціалом несправностей, та обстежити репозиторії на предмет несанкціонованих змін.