ГлавнаяБаза уязвимостей БДУ → BDU:2024-07988
8.5критическая

BDU:2024-07988

Уязвимость программной платформы на базе git для совместной работы над кодом GitLab, связанная с ошибками разграничения доступа, позволяющая нарушителю запускать конвейеры непрерывной интеграции и непрерывной доставки (CI/CD) на произвольных ветках программы
Опубликовано: 2024-10-14
Описание

Уязвимость программной платформы на базе git для совместной работы над кодом GitLab связана с ошибками разграничения доступа. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, запускать конвейеры непрерывной интеграции и непрерывной доставки (CI/CD) на произвольных ветках программы

Затрагиваемое ПО и версии
Gitlab (от 17.3 до 17.3.5)Gitlab (от 17.4 до 17.4.2)Gitlab (от 11.8 до 17.4.6)
Способ устранения

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- отключение/удаление неиспользуемых учётных записей пользователей;
- ограничение прав доступа пользователей и групп в GitLab на запуск конвейеров CI/CD;
- внедрение систем мониторинга для отслеживания активности в репозиториях и конвейерах CI/CD в целях предотвращения попыток эксплуатации уязвимости.

Использование рекомендаций:
https://about.gitlab.com/releases/2024/10/09/patch-release-gitlab-17-4-2-released/

Оценка CVSS
Балл8.5 — критическая опасность
Источники и патчи
https://about.gitlab.com/releases/2024/10/09/patch-release-gitlab-17-4-2-released/
Проверьте безопасность своего сайта и почты → Полная проверка домена