GitLab пусна пачове за две критични уязвимости. Инсталирайте ги незабавно!

GitLab пусна актуализации за сигурност за Community Edition (CE) и Enterprise Edition (EE). С тях се поправят девет уязвимости, сред които две критични. Те позволяват заобикалянето на удостоверяването в библиотеката ruby-saml.

Това означава, че атакуващият може да получи неоторизиран достъп до акаунта на друг потребител. Подобна атака би довела до потенциално изтичане на данни, увеличаване на привилегии и други рискове за сигурността.

Уязвимости са отстранени във версиите на GitLab CE/EE 17.7.7, 17.8.5 и 17.9.2. Всички преди тях са уязвими.

GitLab.com вече е поправен, а клиентите на GitLab Dedicated ще бъдат актуализирани автоматично. Потребителите, които поддържат самоуправляеми инсталации в собствената си инфраструктура, обаче ще трябва да приложат актуализациите ръчно. Това трябва да се направи възможно най-бързо.

Потребителите на GitLab, които не могат да преминат незабавно към безопасна версия, трябва да:

• се уверят, че всички потребители на самоуправляващата се инстанция на GitLab са активирали 2FA. MFA на ниво доставчик на софтуер за проверка на идентичност не смекчава проблема;
• деактивират опцията за заобикаляне на SAML;
• заложат одобрение от администратора за автоматично създадените потребители, като зададат:

‘gitlab_rails[‘omniauth_block_auto_created_users’] = true’

Въпреки че тези стъпки значително намаляват риска, те трябва да се разглеждат само като временни мерки, докато не стане възможно обновяването до GitLab 17.9.2, 17.8.5 или 17.7.7.

За да актуализирате GitLab, отидете в официалния център за изтегляне на актуализации. Инструкциите за инсталиране на GitLab Runner са налични ТУК.