УА РУ

Многоканальный +380 (44) 364 05 71

Киевстар +380 (67) 445 85 78

MTС +380 (95) 272 96 19

Life +380 (93) 338 69 78

Служба поддержки support@freehost.com.ua

Отдел продаж service@freehost.com.ua

Бухгалтерия billing@freehost.com.ua

Руководство boss@freehost.com.ua

Борьба со спамом abuse@freehost.com.ua
Панель пользователя

Хостинг admin.freehost.com.ua

Домены domainadmin.freehost.com.ua

Сервера serveradmin.freehost.com.ua

Оформить заказ0
  • База знаний
  • /
  • Блог
  • /
  • Wiki
  • /
  • ONLINE CHAT
+380 (44) 364 05 71
Прислать статью

Мы уверенны что среди наших клиентов, есть много профессионалов IT, работающих над интересными проектами. Если у Вас возникает желание рассказать о них, Вы можете разместить статью в нашем блоге. А чтоб было интересней, мы сделали конкурс статей, каждый месяц три победителя будут получать призы.

Статьи / Администрирование

GitLab выпустил критическое обновление безопасности для устранения нескольких уязвимостей

Статья также доступна на украинском (перейти к просмотру).

 GitLab выпустил критическое обновление безопасности для устранения нескольких уязвимостей

Оглавление

GitLab, ведущий поставщик платформы для управления разработкой программного обеспечения, 11 января 2024 года объявил о выпуске критического обновления безопасности для устранения трех уязвимостей. Версии обновления носят названия 16.7.2, 16.6.4, 16.5.6 и предназначены для GitLab Community Edition (CE) и Enterprise Edition (EE).

Список уязвимостей и исправлений

В течение 2023 года сообщество пользователей GitLab выявило несколько проблем разного уровня критичности. Все они успешно исправлены в новых версиях обновлений.

Проблема со сбросом пароля

Уязвимые версии: 16.1 до 16.7.2

Воздействие на пользователей: Все механизмы аутентификации были уязвимы. Пользователи с включенной двухфакторной аутентификацией были уязвимы к сбросу пароля, но не к захвату аккаунта.

Действия для пользователей: Обновить GitLab до исправленной версии, включить двухфакторную аутентификацию для всех аккаунтов.

Обход удаления утверждения CODEOWNERS

Уязвимые версии: 15.3 до 16.7.2

Воздействие на пользователей: Возможность обхода удаления утверждения CODEOWNERS.

Действия для пользователей: Обновить GitLab до исправленной версии

Злоупотребление интеграцией Slack/Mattermost

Уязвимые версии: 8.13 до 16.7.2

Влияние: Пользователи могут выполнять команды от имени другого пользователя из-за неправильных проверок авторизации.

Действия для пользователей: Обновить GitLab до исправленной версии

Создание рабочих областей в другом корневом пространстве имен

Уязвимые версии: К 16.7.2

Воздействие на пользователей: Злоумышленники могут создавать рабочие пространства в одной группе, связанные с агентом из другой группы.

Действия для пользователей: Обновить GitLab до исправленной версии

Проверка подписи фиксации игнорирует заголовки после подписи

Уязвимые версии: 12.2 до 16.7.2

Воздействие на пользователей: Изменение метаданных подписанных комитов

Действия для пользователей: Обновить GitLab до исправленной версии

Эти уязвимости уже исправлены в последней версии GitLab. Пользователям рекомендуется как можно скорее установить обновления и принять другие меры предосторожности, указанные в сообщении.

Патчи, не связанные с безопасностью

Версия 16.7.2

  • Удалены фиктивные теги по ресурсам.
  • Решено перекрестное соединение баз данных на HookData::ProjectBuilder.
  • Исправлены ошибки спецификации конфигурации Sidekiq.
  • Защищены спецификации CLI внутренних событий от нестабильности.
  • Apollo Boards включен по умолчанию.
  • Добавлены недостающие индексы ci_sources_pipelines для самостоятельного размещения.
  • Временно закреплены драгоценные камни, связанные с Фарадеем.

 Версия 16.6.4

  • Объединена ветвь ci-clean-mocked-tags в 16-6-stable.
  • Удалены фиктивные теги по ресурсам.
  • Search::IndexRepairService использует индекс хранилища для проектов.
  • Применен определенный патч для стабильной ветви 16.6.
  • Временно закреплены драгоценные камни, связанные с Фарадеем.

Версия 16.5.6

  • Удалены фиктивные тэги из ресурсов, не загрязняя артефакты (обратный порт до 16.5).
  • Удалены фиктивные теги по ресурсам.
  • Исправлены журналы chatty loop Writer при пустой конфигурации уровня журнала.
  • Исправлены версии Bump allure-report и backport clickhouse до 16.5.
  • Временно закреплены драгоценные камни, связанные с Фарадеем.

Общие советы для пользователей

GitLab рекомендует немедленно обновить все инстансы GitLab до 16.7.2, 16.6.4 или 16.5.6. Кроме того, пользователи могут принять следующие меры для защиты своих систем от потенциальных уязвимостей:

  1. Всегда устанавливайте новые обновления безопасности.
  2. Включите двухфакторную аутентификацию (2FA) для всех аккаунтов GitLab.
  3. Переустановите все секреты, которые могут быть скомпроментированы.
  4. Просмотрите свои репозитории на наличие несанкционированных изменений.
  5. Следуйте инструкциям по реагированию на инциденты, доступные на веб-сайте GitLab.

Дата-центр FREEhost.UA уже обновил шаблон GitLab, из которого создаются виртуальные машины на нашем хостинге. Поэтому заказав облачный VPS с GitLab уже через несколько минут вы получите полностью настроенный сервер с последней версией этого полезного продукта.

Подписывайтесь на наш телеграмм-канал https://t.me/freehostua, чтобы быть в курсе новых полезных материалов

Смотрите наш канал Youtube на https://www.youtube.com/freehostua.

Мы в чем ошиблись, или что-то пропустили?

Напишите об этом в комментариях, мы с удовольствием ответим и обсуждаем Ваши замечания и предложения.

Дата: 17.01.2024
Автор: Сергей Носенко
#gitlab#security
Голосование

Рекомендуемые статьи по теме:

Авторам статьи важно Ваше мнение. Будем рады его обсудить с Вами:

comments powered by Disqus
navigate
go
exit
Спасибо, что выбираете FREEhost.UA