Критическое обновление безопасности от GITLAB: устранение уязвимостей

11 января 2024 года GitLab, ведущий поставщик платформы для управления разработкой программного обеспечения, выпустил важное обновление безопасности с целью устранения выявленных уязвимостей.

Уязвимости были выявлены сообществом пользователей GitLab, которые помогли компании исправить ошибки с механизмами аутентификации, проверками авторизации в Slack/Mattermost, созданием рабочих пространств вне нативной среды, изменением метаданных в комитах, и обходом утверждения CODEOWNERS.

В версиях 16.1 до 16.7.2 были замечены проблемы со всеми механизмами аутентификации: даже пользователи с двухфакторной аутентификацией были уязвимы на определенном уровне. Компания порекомендовала обновить упомянутый диапазон версий и включить двухфакторную аутентификацию для всех аккаунтов.

С версии 8.13 по 16.7.2 з-за плохо функционирующей проверки авторизации пользователи могли выполнять команды от имени других пользователей в Slack и Mattermost. Так же, до 16.7.2 версии существовала возможность создавать рабочие пространства в группе, к которой эти пространства не принадлежат. Это создавало отдельную проблему безопасности использования GitLab.

С 12.2 версии происходило изменение метаданных подписанных комитов из-за неправильной проверки подписи фиксации. Существовал также способ обхода утверждения CODEOWNERS, начиная с версии 15.3 и включая версию 16.7.2.

В основном, все упомянутые уязвимости можно устранить, перейдя на новую версию GitLab. Тем не менее GitLab также рекомендует включать двухфакторную аутентификацию (2FA) для всех аккаунтов GitLab, переустановить все секреты с потенциалом неисправностей, и обследовать репозитории на предмет несанкционированных изменений.