GitLab Releases Patch for Critical CI/CD Pipeline Vulnerability and 13 Others – OfficialSarkar
GitLab ने जारी किया है सुरक्षा अद्यतन 14 सुरक्षा खामियों को दूर करने के लिए, जिसमें एक महत्वपूर्ण भेद्यता भी शामिल है, जिसका उपयोग किसी भी उपयोगकर्ता द्वारा निरंतर एकीकरण और निरंतर परिनियोजन (सीआई/सीडी) पाइपलाइनों को चलाने के लिए किया जा सकता है।
GitLab सामुदायिक संस्करण (CE) और एंटरप्राइज़ संस्करण (EE) को प्रभावित करने वाली कमजोरियों को संस्करण 17.1.1, 17.0.3 और 16.11.5 में संबोधित किया गया है।
सबसे गंभीर कमज़ोरी यह है सीवीई-2024-5655 (सीवीएसएस स्कोर: 9.6), जो किसी दुर्भावनापूर्ण अभिनेता को कुछ परिस्थितियों में किसी अन्य उपयोगकर्ता के रूप में पाइपलाइन को ट्रिगर करने की अनुमति दे सकता है।
इसका प्रभाव CE और EE के निम्नलिखित संस्करणों पर पड़ता है –
- 17.1.1 से पहले 17.1.1
- 17.0.3 से पहले 17.0, और
- 15.8 से पहले 16.11.5
GitLab ने कहा कि यह सुधार दो महत्वपूर्ण परिवर्तन प्रस्तुत करता है, जिसके परिणामस्वरूप CI_JOB_TOKEN का उपयोग करने वाला GraphQL प्रमाणीकरण डिफ़ॉल्ट रूप से अक्षम हो जाता है और जब किसी मर्ज अनुरोध को उसके पिछले लक्ष्य शाखा के विलय के बाद पुनः लक्षित किया जाता है, तो पाइपलाइनें स्वचालित रूप से नहीं चलेंगी।
नवीनतम रिलीज के भाग के रूप में ठीक की गई कुछ अन्य महत्वपूर्ण खामियां नीचे सूचीबद्ध हैं –
- सीवीई-2024-4901 (CVSS स्कोर: 8.7) – एक संग्रहीत XSS भेद्यता को दुर्भावनापूर्ण प्रतिबद्ध नोट्स वाले प्रोजेक्ट से आयात किया जा सकता है
- सीवीई-2024-4994 (CVSS स्कोर: 8.1) – GitLab के GraphQL API पर CSRF हमला जिसके कारण मनमाने ढंग से GraphQL म्यूटेशन निष्पादित हुए
- सीवीई-2024-6323 (सीवीएसएस स्कोर: 7.5) – वैश्विक खोज सुविधा में एक प्राधिकरण दोष जो एक सार्वजनिक परियोजना के भीतर एक निजी भंडार से संवेदनशील जानकारी के रिसाव की अनुमति देता है
- सीवीई-2024-2177 (CVSS स्कोर: 6.8) – एक क्रॉस विंडो जालसाजी भेद्यता जो एक हमलावर को एक तैयार पेलोड के माध्यम से OAuth प्रमाणीकरण प्रवाह का दुरुपयोग करने में सक्षम बनाती है
यद्यपि खामियों के सक्रिय दोहन का कोई सबूत नहीं है, फिर भी उपयोगकर्ताओं को संभावित खतरों से बचने के लिए पैच लागू करने की सिफारिश की जाती है।
Source: TheHackerNews
