Η GitLab συνιστά στους χρήστες της να εγκαταστήσουν μια ενημέρωση ασφαλείας για τα branches 15.1, 15.2, and 15.3 των community και enterprise εκδόσεων για να διορθώσουν μια κρίσιμη ευπάθεια που θα μπορούσε να τους θέσει σε σοβαρό κίνδυνο. Πρόκειται για μια ευπάθεια που επιτρέπει σε έναν εισβολέα να εκτελέσει εντολές απομακρυσμένα μέσω Github import.
Το GitLab είναι ένα διαδικτυακό Git repository για ομάδες developer που πρέπει να διαχειρίζονται τον κώδικά τους εξ αποστάσεως. Η υπηρεσία έχει περίπου 30 εκατομμύρια εγγεγραμμένους χρήστες και ένα εκατομμύριο πελάτες που πληρώνουν.
Δείτε επίσης: Επίθεση AiTM στοχεύει χρήστες του Google G-Suite Enterprise
Το GitLab κυκλοφορεί ενημερώσεις κώδικα για ευπάθειες σε ειδικές εκδόσεις ασφαλείας. Υπάρχουν δύο τύποι εκδόσεων ασφαλείας: μια μηνιαία, προγραμματισμένη έκδοση ασφαλείας και εκδόσεις ad-hoc για κρίσιμα σφάλματα.
Η κρίσιμη ευπάθεια που επηρεάζει το λογισμικό παρακολουθείται ως CVE-2022-2884 και έχει λάβει βαθμολογία CVSS v3 9,9 ως προς τη σοβαρότητα. Επηρεάζει όλες τις εκδόσεις από την 11.3.4 έως την 15.1.4, αυτές μεταξύ 15.2 και 15.2.3 και 15.3. Γι’ αυτό το λόγο, είναι απαραίτητη η εγκατάσταση της ενημέρωσης ασφαλείας.
Η GitLab τονίζει ότι ο τύπος deployment (omnibus, source code, helm chart κ.λπ.) δεν κάνει διαφορά, καθώς επηρεάζονται όλα.
GitLab: Η ευπάθεια επιτρέπει την εκτέλεση εντολών απομακρυσμένα
Οι ευπάθειες που επιτρέπουν την εκτέλεση εντολών απομακρυσμένα είναι αρκετά συχνές αλλά και επικίνδυνες. Ένας κακόβουλος χρήστης θα μπορούσε να εκμεταλλευτεί αυτή την ευπάθεια για να εκτελέσει κακόβουλο κώδικα στο μηχάνημα-στόχο απομακρυσμένα, να εισάγει κακόβουλο λογισμικό και backdoors ή να αποκτήσει τον πλήρη έλεγχο του ευάλωτου τερματικού σημείου.
Δείτε επίσης: To «Internet Download Manager» του Chrome αποδείχτηκε adware
Χρησιμοποιώντας τη συγκεκριμένη ευπάθεια, ένας επιτιθέμενος θα μπορούσε να αναλάβει τον έλεγχο του server, να κλέψει ή να διαγράψει source code, να εκτελέσει κακόβουλες εντολές και πολλά άλλα.
Οι πιο πρόσφατες εκδόσεις του GitLab που αντιμετωπίζουν το πρόβλημα είναι οι 15.3.1, 15.2.3 και 15.1.5. Οι χρήστες πρέπει να τις αναβαθμίσουν αμέσως, προκειμένου να παραμείνουν ασφαλείς.
“Συνιστούμε ανεπιφύλακτα όλες οι εγκαταστάσεις που εκτελούν μια έκδοση που επηρεάζεται από τα ζητήματα που περιγράφονται παρακάτω, να αναβαθμιστούν στην πιο πρόσφατη έκδοση το συντομότερο δυνατό“, αναφέρει η ανακοίνωση της GitLab.
Τι να κάνετε αν δεν είναι δυνατή η εγκατάσταση της ενημέρωσης;
Εάν δεν είναι δυνατή η εγκατάσταση των ενημερώσεων ασφαλείας για οποιονδήποτε λόγο, η GitLab συνιστά την εφαρμογή μιας προσωρινής λύσης που περιλαμβάνει την απενεργοποίηση του GitHub import, ενός εργαλείου που χρησιμοποιείται για την εισαγωγή ολόκληρων software projects από το GitHub στο GitLab.
Δείτε επίσης: Διαρροή δεδομένων από την Plex.tv Αλλάξτε άμεσα κωδικούς!
Αν λοιπόν δεν μπορείτε να εγκαταστήσετε άμεσα την ενημέρωση ασφαλείας, εφαρμόστε αυτή την προσωρινή λύση, ακολουθώντας τα παρακάτω βήματα:
- Συνδεθείτε χρησιμοποιώντας έναν λογαριασμό διαχειριστή στο GitLab installation σας
- Κάντε κλικ στο “Menu” -> “Admin“
- Στη συνέχεια, κάντε κλικ στο “Settings” -> “General“
- Ανοίξτε την καρτέλα “Visibility and access controls“
- Στην ενότητα “Import sources” απενεργοποιήστε την επιλογή “GitHub“
- Τέλος, κάντε κλικ στο “Save changes“, για να αποθηκεύσετε τις αλλαγές που κάνατε
Για να βεβαιωθείτε ότι έχετε ακολουθήσει σωστά τη διαδικασία και ότι έχει εφαρμοστεί η λύση, ακολουθήστε τα εξής βήματα:
- Σε ένα παράθυρο του προγράμματος περιήγησης, συνδεθείτε ως οποιοσδήποτε χρήστης.
- Κάντε κλικ στο “+” στην επάνω γραμμή
- Κάντε κλικ στο “New project/repository“
- Κάντε κλικ στην “Import project“
- Βεβαιωθείτε ότι το “GitHub” δεν εμφανίζεται ως επιλογή εισαγωγής
Αν μπορείτε να εγκαταστήσετε την ενημέρωση ασφαλείας, κάντε το άμεσα. Για οδηγίες σχετικά με τον τρόπο ενημέρωσης του GitLab installation, πηγαίνετε στο επίσημο updating portal του project.
Δεδομένου ότι έγινε αποκάλυψη της ευπάθειας, εγκληματίες του κυβερνοχώρου μπορεί να αρχίζουν ήδη να ψάχνουν τρόπους εκμετάλλευσης. Επομένως, βιαστείτε, αν θέλετε να παραμείνετε ασφαλείς!
Πηγή: www.bleepingcomputer.com