УА РУ

Багатоканальний +380 (44) 364 05 71

Київстар +380 (67) 445 85 78

MTС +380 (95) 272 96 19

Life +380 (93) 338 69 78

Служба підтримки support@freehost.com.ua

Відділ продажу service@freehost.com.ua

Бухгалтерія billing@freehost.com.ua

Керівництво boss@freehost.com.ua

Боротьба зі спамом abuse@freehost.com.ua
Панель користувача

Хостінг admin.freehost.com.ua

Домени domainadmin.freehost.com.ua

Сервера serveradmin.freehost.com.ua

Оформити покупку0
  • База знань
  • /
  • Блог
  • /
  • Wiki
  • /
  • ONLINE CHAT
+380 (44) 364 05 71
Надіслати статтю

Ми впевнені, що серед наших клієнтів є багато професіоналів IT, які працюють над цікавими проектами. Якщо у Вас виникає бажання розповісти про них, Ви можете розмістити статтю у нашому блозі. А щоб було цікавіше, ми зробили конкурс статей, щомісяця три переможці отримуватимуть призи.

Статті / Адміністрування

GitLab випустив критичне оновлення безпеки для усунення кількох вразливостей

Стаття також доступна російською (перейти до перегляду).

 GitLab випустив критичне оновлення безпеки для усунення кількох вразливостей

Вступ

GitLab, провідний постачальник платформи для управління розробкою програмного забезпечення, 11 січня 2024 року оголосив про випуск критичного оновлення безпеки для усунення трьох вразливостей. Версії оновлення носять назви 16.7.2, 16.6.4, 16.5.6 і призначені для GitLab Community Edition (CE) та Enterprise Edition (EE).

Перелік вразливостей та виправлень

 Протягом 2023 року спільнота користувачів GitLab виявила кілька проблем різного рівня критичності. Всі вони успішно виправлені у свіжих версіях оновлень.

Проблема зі скиданням пароля

Вразливі версії: 16.1 до 16.7.2

Вплив на користувачів: Всі механізми автентифікації були уразливі. Користувачі з увімкненою двофакторною автентифікацією були вразливі до скидання пароля, але не до захоплення облікового запису.

Дії для користувачів: Оновити GitLab до виправленої версії, включити двофакторну автентифікацію для всіх облікових записів.

Обхід видалення затвердження CODEOWNERS

Вразливі версії: 15.3 до 16.7.2

Вплив на користувачів: Можливість обходу видалення затвердження CODEOWNERS.

Дії для користувачів: Оновити GitLab до виправленої версії.

Зловживання інтеграцією Slack/Mattermost

Вразливі версії: 8.13 до 16.7.2

Вплив: Користувачі можуть виконувати команди від імені іншого користувача через неправильні перевірки авторизації.

Дії для користувачів: Оновити GitLab до виправленої версії.

Створення робочих областей в іншому кореневому просторі імен

Вразливі версії: До 16.7.2

Вплив на користувачів: Зловмисники можуть створювати робочі простори в одній групі, пов'язані з агентом з іншої групи.

Дії для користувачів: Оновити GitLab до виправленої версії.

Перевірка підпису фіксації ігнорує заголовки після підпису

Вразливі версії: 12.2 до 16.7.2

Вплив на користувачів: Зміна метаданих підписаних комітів.

Дії для користувачів: Оновити GitLab до виправленої версії.

Ці вразливості вже виправлені в останній версії GitLab. Користувачам рекомендується якнайшвидше встановити оновлення та прийняти інші заходи безпеки, зазначені у повідомленні.

Патчі, не пов’язані з безпекою

Версія 16.7.2

  • Видалено фіктивні теги з ресурсів.
  • Вирішено перехресні з'єднання баз даних на HookData::ProjectBuilder.
  • Виправлено помилки специфікації конфігурації Sidekiq.
  • Захищені специфікації CLI внутрішніх подій від нестабільності.
  • Увімкнено Apollo Boards за умовчанням.
  • Додано відсутні індекси ci_sources_pipelines для самостійного розміщення.
  • Тимчасово закріплені дорогоцінні камені, пов'язані з Фарадеєм.

Версія 16.6.4

  • Об'єднано гілку ci-clean-mocked-tags у 16-6-stable.
  • Видалено фіктивні теги з ресурсів.
  • Search::IndexRepairService використовує індекс сховища для проєктів.
  • Застосовано певний патч до стабільної гілки 16.6.
  • Тимчасово закріплені дорогоцінні камені, пов'язані з Фарадеєм.

Версія 16.5.6

  • Видалено фіктивні теги з ресурсів, не забруднюючи артефакти (зворотний порт до 16.5).
  • Видалено фіктивні теги з ресурсів.
  • Виправлено журнали chatty loopWriter при порожній конфігурації рівня журналу.
  • Виправлено версії Bump allure-report і backport clickhouse до 16.5.
  • Тимчасово закріплені дорогоцінні камені, пов'язані з Фарадеєм.

Загальні поради для користувачів

GitLab рекомендує негайно оновити всі інстанси GitLab до 16.7.2, 16.6.4 або 16.5.6. Крім того, користувачі можуть вжити наступних заходів для захисту своїх систем від потенційних вразливостей:

  1. Завжди встановлюйте найновіші оновлення безпеки.
  2. Увімкніть двофакторну аутентифікацію (2FA) для всіх облікових записів GitLab.
  3. Перевстановіть всі секрети, що можуть бути скомпроментовані.
  4. Перегляньте свої репозиторії на наявність несанкціонованих змін.
  5. Слідуйте інструкціям з реагування на інциденти, доступні на веб сайті GitLab.

Дата-центр FREEhost.UA вже оновив шаблон GitLab з якого створюються віртуальні машини на нашому хостингу. Тому замовивши хмарний VPS з GitLab вже через кілька хвилин Ви отримаєте повністю налаштований сервер з останньою версією цього корисного продукту.

Підписуйтесь на наш телеграм-канал https://t.me/freehostua, щоб бути в курсі нових корисних матеріалів.

Дивіться наш канал Youtube на https://www.youtube.com/freehostua.

Ми у чомусь помилилися, чи щось пропустили?

Напишіть про це у коментарях, ми з задоволенням відповімо та обговорюємо Ваші зауваження та пропозиції.

Дата: 17.01.2024
Автор: Сергій Носенко
#gitlab#security
Голосування

Рекомендовані статті на тему:

Авторам статті важлива Ваша думка. Будемо раді його обговорити з Вами:

comments powered by Disqus
navigate
go
exit
Дякуємо, що обираєте FREEhost.UA