GitLab Releases Patch for Critical CI/CD Pipeline Vulnerability and 13 Others – OfficialSarkar

28 जून, 2024न्यूज़रूमसॉफ्टवेयर सुरक्षा / DevOps

GitLab ने जारी किया है सुरक्षा अद्यतन 14 सुरक्षा खामियों को दूर करने के लिए, जिसमें एक महत्वपूर्ण भेद्यता भी शामिल है, जिसका उपयोग किसी भी उपयोगकर्ता द्वारा निरंतर एकीकरण और निरंतर परिनियोजन (सीआई/सीडी) पाइपलाइनों को चलाने के लिए किया जा सकता है।

GitLab सामुदायिक संस्करण (CE) और एंटरप्राइज़ संस्करण (EE) को प्रभावित करने वाली कमजोरियों को संस्करण 17.1.1, 17.0.3 और 16.11.5 में संबोधित किया गया है।

सबसे गंभीर कमज़ोरी यह है सीवीई-2024-5655 (सीवीएसएस स्कोर: 9.6), जो किसी दुर्भावनापूर्ण अभिनेता को कुछ परिस्थितियों में किसी अन्य उपयोगकर्ता के रूप में पाइपलाइन को ट्रिगर करने की अनुमति दे सकता है।

इसका प्रभाव CE और EE के निम्नलिखित संस्करणों पर पड़ता है –

  • 17.1.1 से पहले 17.1.1
  • 17.0.3 से पहले 17.0, और
  • 15.8 से पहले 16.11.5

GitLab ने कहा कि यह सुधार दो महत्वपूर्ण परिवर्तन प्रस्तुत करता है, जिसके परिणामस्वरूप CI_JOB_TOKEN का उपयोग करने वाला GraphQL प्रमाणीकरण डिफ़ॉल्ट रूप से अक्षम हो जाता है और जब किसी मर्ज अनुरोध को उसके पिछले लक्ष्य शाखा के विलय के बाद पुनः लक्षित किया जाता है, तो पाइपलाइनें स्वचालित रूप से नहीं चलेंगी।

नवीनतम रिलीज के भाग के रूप में ठीक की गई कुछ अन्य महत्वपूर्ण खामियां नीचे सूचीबद्ध हैं –

  • सीवीई-2024-4901 (CVSS स्कोर: 8.7) – एक संग्रहीत XSS भेद्यता को दुर्भावनापूर्ण प्रतिबद्ध नोट्स वाले प्रोजेक्ट से आयात किया जा सकता है
  • सीवीई-2024-4994 (CVSS स्कोर: 8.1) – GitLab के GraphQL API पर CSRF हमला जिसके कारण मनमाने ढंग से GraphQL म्यूटेशन निष्पादित हुए
  • सीवीई-2024-6323 (सीवीएसएस स्कोर: 7.5) – वैश्विक खोज सुविधा में एक प्राधिकरण दोष जो एक सार्वजनिक परियोजना के भीतर एक निजी भंडार से संवेदनशील जानकारी के रिसाव की अनुमति देता है
  • सीवीई-2024-2177 (CVSS स्कोर: 6.8) – एक क्रॉस विंडो जालसाजी भेद्यता जो एक हमलावर को एक तैयार पेलोड के माध्यम से OAuth प्रमाणीकरण प्रवाह का दुरुपयोग करने में सक्षम बनाती है

यद्यपि खामियों के सक्रिय दोहन का कोई सबूत नहीं है, फिर भी उपयोगकर्ताओं को संभावित खतरों से बचने के लिए पैच लागू करने की सिफारिश की जाती है।

क्या आपको यह लेख रोचक लगा? हमें फ़ॉलो करें ट्विटर और Linkedin हमारे द्वारा पोस्ट की गई अधिक विशिष्ट सामग्री पढ़ने के लिए।

Source: TheHackerNews

Similar Posts

Leave a Reply

Your email address will not be published. Required fields are marked *