أصدر GitLab تحديثات أمنية لكل من إصداري Community وEnterprise لمعالجة اثنتين من نقاط الضعف الحرجة، إحداهما تسمح باختطاف الحساب دون تدخل المستخدم.
يوصي البائع بتحديث كافة الإصدارات الضعيفة من نظام DevSecOps (التحديثات اليدوية مطلوبة لعمليات التثبيت ذاتية الاستضافة) في أقرب وقت ممكن، ويحذر من أنه “إذا لم يتم تنفيذ نوع نشر معين (الجامع، التعليمات البرمجية المصدر، مخطط Helm، وما إلى ذلك) موجود. تم تحديد منتج، مما يعني أن جميع الأنواع تتأثر.”
تفاصيل التأثير
حصلت المشكلة الأمنية الأكثر أهمية التي تم تصحيحها بواسطة GitLab على أعلى درجة خطورة (10 من 10) ويتم تتبعها على أنها CVE-2023-7028. الاستغلال الناجح لا يتطلب أي اتصال.
هذه مشكلة مصادقة تسمح بإرسال طلبات إعادة تعيين كلمة المرور إلى عناوين بريد إلكتروني عشوائية لم يتم التحقق منها، مما يسمح بالاستيلاء على الحساب. إذا كانت المصادقة الثنائية (2FA) نشطة، فيمكن إعادة تعيين كلمة المرور، ولكن لا يزال عامل المصادقة الثاني مطلوبًا لتسجيل الدخول الناجح.
يمكن أن يكون لاختراق حساب GitLab تأثير كبير على المؤسسة، حيث يتم استخدام النظام الأساسي عادةً لاستضافة تعليمات برمجية خاصة ومفاتيح واجهة برمجة التطبيقات (API) والبيانات الحساسة الأخرى.
هناك خطر آخر يتمثل في هجمات سلسلة التوريد حيث يمكن للمهاجمين اختراق المستودعات عن طريق إدخال تعليمات برمجية ضارة في البيئات الحية عند استخدام GitLab لـ CI/CD (التكامل المستمر/النشر المستمر).
تم اكتشاف هذه المشكلة والإبلاغ عنها إلى GitLab بواسطة الباحث الأمني ”Asterion” عبر منصة مكافآت الأخطاء HackerOne وتم إصدارها في 1 مايو 2023 بالإصدار 16.1.0.
تتأثر الإصدارات التالية:
- 16.1 قبل 16.1.5
- 16.2 قبل 16.2.8
- 16.3 قبل 16.3.6
- 16.4 قبل 16.4.4
- 16.5 قبل 16.5.6
- 16.6 قبل 16.6.4
- 16.7 قبل 16.7.2
تم حل هذا الخلل في إصدارات GitLab 16.7.2 و16.5.6 و16.6.4، كما تم إصلاحه أيضًا في الإصدارات 16.1.6 و16.2.9 و16.3.7.
تقول GitLab إنها لم تكتشف أي حالات لاستغلال نشط لـ CVE-2023-7028، ولكنها شاركت الأعراض التالية للاختراق مع الأوصياء:
Check gitlab-rails/production_json.log for HTTP requests to the /users/password path with params.value.email consisting of a JSON array with multiple email addresses.
Check gitlab-rails/audit_json.log for entries with meta.caller.id of PasswordsController#create and target_details consisting of a JSON array with multiple email addresses.
تم تحديد المشكلة الحرجة الثانية باسم CVE-2023-5356 ولها درجة خطورة تبلغ 9.6 من 10. يمكن للمهاجم إساءة استخدام عمليات تكامل Slack/Mattermost لتشغيل أوامر Slack كمستخدم آخر.
في Mattermost، تسمح أوامر الشرطة المائلة بدمج التطبيقات الخارجية في مساحة العمل، وفي Slack تعمل كاختصارات لتشغيل التطبيقات في مربع مؤلف الرسائل.
الأخطاء المتبقية التي تم إصلاحها بواسطة GitLab في الإصدار 16.7.2:
- CVE-2023-4812: ثغرة أمنية عالية الخطورة في GitLab 15.3 والإصدارات الأحدث تتيح تجاوز موافقة CODEOWNERS عن طريق إجراء تغييرات على طلب دمج تمت الموافقة عليه مسبقًا.
- CVE-2023-6955: يتيح التحكم المعيب في الوصول إلى مساحات العمل في GitLab قبل الإصدار 16.7.2 للمهاجمين إنشاء مساحة عمل في مجموعة مرتبطة بوكيل مجموعة أخرى.
- CVE-2023-2030: خلل في التحقق من التوقيع في إصدارات GitLab CE/EE 12.2 والإصدارات الأحدث يتضمن إمكانية تغيير البيانات التعريفية للالتزامات الموقعة بسبب التحقق غير الصحيح من التوقيع.
للحصول على الإرشادات ومصادر التحديث الرسمية، راجع GitLab تحديث الصفحة. بالنسبة إلى KitLab Runner، قم بزيارة صفحة الويب هذه.