SK-CERT Bezpečnostné varovanie V20240709-06
| Dôležitosť | Kritická |
| Klasifikácia | Neutajované/TLP:CLEAR |
| CVSS Skóre |
9.9 |
| Identifikátor |
| Gogs – tri kritické bezpečnostné zraniteľnosti |
| Popis |
| Bezpečnostní výskumníci zverejnili informácie o štyroch zraniteľnostiach produktu Gogs, z ktorých sú tri označené ako kritické. Najzávažnejšia kritická bezpečnostná zraniteľnosť s identifikátorom CVE-2024-39930 spočíva v nedostatočnej implementácii bezpečnostných mechanizmov a umožňuje vzdialenému, autentifikovanému útočníkovi s právomocami používateľa prostredníctvom injekcie špeciálne upravených príkazov vykonať škodlivý kód s následkom úplného narušenia dôvernosti, integrity a dostupnosti systému. Ostatné bezpečnostné zraniteľnosti možno zneužiť na vykonanie škodlivého kódu s následkom úplného narušenia dôvernosti, integrity a dostupnosti systému a neoprávnený prístup k citlivým údajom. Na zneužitie zraniteľnosti s identifikátorom CVE-2024-39930 je potrebné, aby bol aktivovaný vstavaný SSH server, aby útočník disponoval platným SSH kľúčom a aby bol na serveri použitý env binary vo verzii, ktorá podporuje možnosť „–split-string“. Inštancie Gogs prevádzkované na operačnom systéme Windows nie sú zraniteľné, keďže v nich nie je dostupný príkaz „env“. |
| Dátum prvého zverejnenia varovania |
| 2.7.2024 |
| CVE |
| CVE-2024-39930, CVE-2024-39931, CVE-2024-39932, CVE-2024-39933 |
| IOC |
| – |
| Zasiahnuté systémy |
| Gogs vo verzii staršej ako (vrátane) 0.13.0 a vo verzii commitu staršej ako (vrátane) 5bdf91e |
| Následky |
| Vykonanie škodlivého kódu a úplné narušenie dôvernosti, integrity a dostupnosti systému Neoprávnený prístup k citlivým údajom |
| Odporúčania |
| Vzhľadom na absenciu záplat pre predmetné zraniteľnosti odporúčame zraniteľnosti mitigovať podľa odporúčaní od bezpečnostných výskumníkov, sledovať stránku výrobcu a po vydaní bezpečnostných záplat bezodkladne vykonať aktualizáciu zasiahnutých systémov. Alternatívne odporúčajú prejsť na produkt Gitea, ktorý je odnožou projektu Gogs, no nie je zasiahnutý predmetnými zraniteľnosťami. Detailné inštrukcie môžete nájsť na webovej adrese uvedenej v sekcii ZDROJE. Po odstránení zraniteľností, ktoré mohli spôsobiť získanie prístupu k citlivým údajom alebo vzdialené vykonanie kódu, je dobrou praxou zmena všetkých hesiel a kľúčov na dotknutom systéme a aj na iných systémoch, kde sa používalo rovnaké heslo či kľúč. |
« Späť na zoznam
