GitLab пусна пачове за две критични уязвимости. Инсталирайте ги незабавно!

GitLab пусна актуализации за сигурност за Community Edition (CE) и Enterprise Edition (EE). С тях се поправят девет уязвимости, сред които две критични. Те позволяват заобикалянето на удостоверяването в библиотеката ruby-saml.

Това означава, че атакуващият може да получи неоторизиран достъп до акаунта на друг потребител. Подобна атака би довела до потенциално изтичане на данни, увеличаване на привилегии и други рискове за сигурността.

Уязвимости са отстранени във версиите на GitLab CE/EE 17.7.7, 17.8.5 и 17.9.2. Всички преди тях са уязвими.

GitLab.com вече е поправен, а клиентите на GitLab Dedicated ще бъдат актуализирани автоматично. Потребителите, които поддържат самоуправляеми инсталации в собствената си инфраструктура, обаче ще трябва да приложат актуализациите ръчно. Това трябва да се направи възможно най-бързо.

Потребителите на GitLab, които не могат да преминат незабавно към безопасна версия, трябва да:

‘gitlab_rails[‘omniauth_block_auto_created_users’] = true’

Въпреки че тези стъпки значително намаляват риска, те трябва да се разглеждат само като временни мерки, докато не стане възможно обновяването до GitLab 17.9.2, 17.8.5 или 17.7.7.

За да актуализирате GitLab, отидете в официалния център за изтегляне на актуализации. Инструкциите за инсталиране на GitLab Runner са налични ТУК.

Източник
Bleepingcomputer.com
Exit mobile version