GitLab выпускает экстренный патч безопасности, просит пользователей немедленно обновиться

GitLab опубликовала исправление для критической уязвимости системы безопасности, обнаруженной в двух ее продуктах. Пользователям было рекомендовано немедленно установить исправление.

GitLab — это программный пакет DevOps, позволяющий пользователям разрабатывать, защищать и использовать программное обеспечение, используемое командами разработчиков, которым необходимо удаленно управлять своим кодом. В нем зарегистрировано около 30 миллионов пользователей, в том числе миллион платных клиентов.

Недавно компания обнаружила уязвимость обхода пути, отслеживаемую как CVE-2023-2825. Эта уязвимость позволяет злоумышленникам, не прошедшим проверку подлинности, читать произвольные файлы на сервере при соблюдении определенных условий. В результате злоумышленники могли считывать конфиденциальные данные, такие как код проприетарного программного обеспечения, учетные данные пользователя и т. д., с уязвимой цели конечные точки. В настоящее время больше подробностей нет, GitLab заявляет, что сообщит больше через месяц после исправления.

Серебряная подкладка

Уязвимость получила оценку серьезности 10/10 и была обнаружена в GitLab Community Edition (CE) и Enterprise Edition (EE) версии 16.0.0. Не все старые версии затронуты, но GitLab по-прежнему рекомендует пользователям применить исправление и обновить инструменты до версии 16.0.1.

"Мы настоятельно рекомендуем, чтобы все установки, на которых запущена версия, затронутая описанными ниже проблемами, были обновлен до последней версии как можно скорее», — говорится в сообщении GitLab, опубликованном вместе с исправлением. "Если для продукта не упоминается конкретный тип развертывания (омнибус, исходный код, схема управления и т. д.), это означает, что затронуты все типы".

По словам исследователей, чтобы использовать эту уязвимость, в общедоступном проекте должно быть вложение, вложенное как минимум в пять групп. Положительным моментом здесь является то, что такая структура встречается не во всех проектах GitHub. Тем не менее, компания призвала всех применить исправление, так как обходных путей для этой уязвимости нет, а на карту поставлено слишком много.

Чтобы обновить установку GitLab, пользователь должен следовать инструкциям, найденным здесь.

• Чтобы защитить свои помещения, обязательно установите один из лучших брандмауэров. прямо сейчас

Через: BleepingComputer