SK-CERT Bezpečnostné varovanie V20240627-05
| Dôležitosť | Kritická |
| Klasifikácia | Neutajované/TLP:CLEAR |
| CVSS Skóre |
9.6 |
| Identifikátor |
| GitLab (CE)/ (EE) – kritická bezpečnostná zraniteľnosť |
| Popis |
| Vývojári platformy GitLab vydali bezpečnostné aktualizácie svojich produktov GitLab Community Edition (CE) a GitLab Enterprise Edition (EE), ktoré opravujú viacero bezpečnostných zraniteľností, z ktorých jedna je označená ako kritická. Kritická bezpečnostná zraniteľnosť s identifikátorom CVE-2024-5655 spočíva v nedostatočnej implementácii bezpečnostných mechanizmov a umožňuje vzdialenému, autentifikovanému útočníkovi s právomocami používateľa spustiť pipeline ako iný používateľ a získať tak neoprávnený prístup k citlivým údajom a vykonať neoprávnené zmeny v systéme . Zneužitím ostatných bezpečnostných zraniteľností možno vykonať škodlivý kód s následkom úplného narušenia dôvernosti, integrity a dostupnosti systému. Zneužitie zraniteľností s identifikátormi CVE-2024-4901, CVE-2024-4994 a CVE-2024-2177 vyžaduje interakciu používateľa. |
| Dátum prvého zverejnenia varovania |
| 26.6.2024 |
| CVE |
| CVE-2024-5655, CVE-2024-4901, CVE-2024-4994, CVE-2024-6323, CVE-2024-2177, CVE-2024-5430, CVE-2024-4025, CVE-2024-3959, CVE-2024-4557, CVE-2024-1493, CVE-2024-1816, CVE-2024-2191, CVE-2024-3115, CVE-2024-4011 |
| IOC |
| – |
| Zasiahnuté systémy |
| GitLab (CE)/ (EE) vo verzii staršej ako 17.1.1, 17.0.3, 16.11.5 |
| Následky |
| Vykonanie škodlivého kódu Neoprávnený prístup k citlivým údajom Neoprávnená zmena v systéme Zneprístupnenie služby Neoprávnený prístup do systému |
| Odporúčania |
| Administrátorom a používateľom odporúčame bezodkladne vykonať aktualizáciu zasiahnutých systémov. Po odstránení zraniteľností, ktoré mohli spôsobiť vzdialené vykonanie kódu, je dobrou praxou kontrola systému a zmena všetkých hesiel a kľúčov na dotknutom systéme a aj na iných systémoch, kde sa používalo rovnaké heslo či kľúč. Taktiež odporúčame poučiť používateľov, aby neotvárali neoverené e-mailové správy, prílohy z neznámych zdrojov a nenavštevovali nedôveryhodné webové stránky. |
| Zdroje |
| https://about.gitlab.com/releases/2024/06/26/patch-release-gitlab-17-1-1-released/#stored-xss-injected-in-imported-projects-commit-notes |
« Späť na zoznam
