Η GitLab επιδιορθώνει μια σοβαρή ευπάθεια η οποία επιτρέπει σε μη εξουσιοδοτημένους χρήστες να αναλάβουν τον έλεγχο των λογαριασμών χρηστών, στα πλαίσια επιθέσεων cross-site scripting (XSS).
Η ευπάθεια παρακολουθείται ως CVE-2024-4835 και είναι μια αδυναμία XSS στο VS code editor (Web IDE). Οι επιτιθέμενοι μπορούν να την χρησιμοποιήσουν για να κλέψουν περιορισμένες πληροφορίες χρησιμοποιώντας ειδικά διαμορφωμένες κακόβουλες σελίδες.
Παρόλο που δεν απαιτείται έλεγχος ταυτότητας για μια επιτυχημένη επίθεση, είναι απαραίτητη η αλληλεπίδραση με τον χρήστη.
Δείτε επίσης: UserPro plugin – WordPress: Προσοχή! Κρίσιμη ευπάθεια
“Σήμερα, κυκλοφορούμε τις εκδόσεις 17.0.1, 16.11.3 και 16.10.6 για τα GitLab Community Edition (CE) και Enterprise Edition (EE)“, δήλωσε η GitLab σχετικά με τη διόρθωση της ευπάθειας.
“Αυτές οι εκδόσεις περιέχουν σημαντικές διορθώσεις σφαλμάτων και ασφάλειας και συνιστούμε ανεπιφύλακτα να αναβαθμιστούν άμεσα όλες οι εγκαταστάσεις του GitLab σε μία από αυτές (τις εκδόσεις)“.
Την Τετάρτη, η εταιρεία διόρθωσε έξι, ακόμα ευπάθειες, μέτριας σοβαρότητας.
GitLab: Ευπάθεια χρησιμοποιείται ενεργά σε επιθέσεις
Η πλατφόρμα GitLab είναι αγαπημένος στόχος, καθώς φιλοξενεί σημαντικά δεδομένα, συμπεριλαμβανομένων API keys και proprietary code.
Δείτε επίσης: Microsoft Exchange Server: Εκμετάλλευση ευπαθειών για διανομή keylogger
Αυτό σημαίνει ότι η παραβίαση λογαριασμών GitLab μπορεί να έχει σημαντικό αντίκτυπο, συμπεριλαμβανομένων των επιθέσεων στην αλυσίδα εφοδιασμού, εάν οι εισβολείς εισαγάγουν κακόβουλο κώδικα σε περιβάλλοντα CI/CD.
Όπως προειδοποίησε η CISA νωρίτερα αυτόν τον μήνα, hackers εκμεταλλεύονται ενεργά μια άλλη ευπάθεια, για παραβίαση λογαριασμού, η οποία διορθώθηκε τον Ιανουάριο. Η ευπάθεια παρακολουθείται ως CVE-2023-7028 και επιτρέπει σε μη επαληθευμένους εισβολείς να πάρουν τον έλεγχο λογαριασμών GitLab μέσω επαναφοράς κωδικού πρόσβασης.
Η CISA πρόσθεσε αυτή την ευπάθεια του GitLab στον Κατάλογο Γνωστών Εκμεταλλευόμενων Ευπαθειών την 1η Μαΐου, δίνοντας εντολή στις ομοσπονδιακές υπηρεσίες των ΗΠΑ να ασφαλίσουν τα συστήματά τους έως τις 22 Μαΐου.
Καθώς η τεχνολογία συνεχίζει να προοδεύει, είναι ζωτικής σημασίας για τους προγραμματιστές και τις εταιρείες να δώσουν προτεραιότητα στην ασφάλεια και να την κάνουν θεμελιώδη πτυχή των διαδικασιών τους. Οι ενέργειες της GitLab για την αντιμετώπιση των ευπαθειών δείχνουν την αφοσίωσή της στην παροχή μιας ασφαλούς πλατφόρμας για συνεργασία και ανάπτυξη.
Δείτε επίσης: Η Veeam προειδοποιεί για κρίσιμη ευπάθεια στο VBEM
Πέρα από την εφαρμογή των ενημερώσεων για τη διόρθωση μιας ευπάθειας, υπάρχουν μερικά πρόσθετα βήματα που μπορούν να κάνουν οι χρήστες για να διασφαλίσουν την ασφάλεια των λογαριασμών τους στο GitLab: ενεργοποίηση ελέγχου ταυτότητας δύο παραγόντων, τακτικός έλεγχος των αρχείων καταγραφής δραστηριότητας λογαριασμού και τακτική ενημέρωση των κωδικών πρόσβασης. Ως πλατφόρμα με γνώμονα την κοινότητα, η GitLab ενθαρρύνει επίσης τους χρήστες να αναφέρουν τυχόν ευπάθειες που συναντούν, ώστε να μπορούν να αντιμετωπιστούν άμεσα.
Πηγή: www.bleepingcomputer.com
