GitLab Releases Patch for Critical CI/CD Pipeline Vulnerability and 13 Others – OfficialSarkar

ByOfficial Sarkar

28 जून, 2024न्यूज़रूमसॉफ्टवेयर सुरक्षा / DevOps

GitLab ने जारी किया है सुरक्षा अद्यतन 14 सुरक्षा खामियों को दूर करने के लिए, जिसमें एक महत्वपूर्ण भेद्यता भी शामिल है, जिसका उपयोग किसी भी उपयोगकर्ता द्वारा निरंतर एकीकरण और निरंतर परिनियोजन (सीआई/सीडी) पाइपलाइनों को चलाने के लिए किया जा सकता है।

GitLab सामुदायिक संस्करण (CE) और एंटरप्राइज़ संस्करण (EE) को प्रभावित करने वाली कमजोरियों को संस्करण 17.1.1, 17.0.3 और 16.11.5 में संबोधित किया गया है।

सबसे गंभीर कमज़ोरी यह है सीवीई-2024-5655 (सीवीएसएस स्कोर: 9.6), जो किसी दुर्भावनापूर्ण अभिनेता को कुछ परिस्थितियों में किसी अन्य उपयोगकर्ता के रूप में पाइपलाइन को ट्रिगर करने की अनुमति दे सकता है।

इसका प्रभाव CE और EE के निम्नलिखित संस्करणों पर पड़ता है –

  • 17.1.1 से पहले 17.1.1
  • 17.0.3 से पहले 17.0, और
  • 15.8 से पहले 16.11.5

GitLab ने कहा कि यह सुधार दो महत्वपूर्ण परिवर्तन प्रस्तुत करता है, जिसके परिणामस्वरूप CI_JOB_TOKEN का उपयोग करने वाला GraphQL प्रमाणीकरण डिफ़ॉल्ट रूप से अक्षम हो जाता है और जब किसी मर्ज अनुरोध को उसके पिछले लक्ष्य शाखा के विलय के बाद पुनः लक्षित किया जाता है, तो पाइपलाइनें स्वचालित रूप से नहीं चलेंगी।

नवीनतम रिलीज के भाग के रूप में ठीक की गई कुछ अन्य महत्वपूर्ण खामियां नीचे सूचीबद्ध हैं –

  • सीवीई-2024-4901 (CVSS स्कोर: 8.7) – एक संग्रहीत XSS भेद्यता को दुर्भावनापूर्ण प्रतिबद्ध नोट्स वाले प्रोजेक्ट से आयात किया जा सकता है
  • सीवीई-2024-4994 (CVSS स्कोर: 8.1) – GitLab के GraphQL API पर CSRF हमला जिसके कारण मनमाने ढंग से GraphQL म्यूटेशन निष्पादित हुए
  • सीवीई-2024-6323 (सीवीएसएस स्कोर: 7.5) – वैश्विक खोज सुविधा में एक प्राधिकरण दोष जो एक सार्वजनिक परियोजना के भीतर एक निजी भंडार से संवेदनशील जानकारी के रिसाव की अनुमति देता है
  • सीवीई-2024-2177 (CVSS स्कोर: 6.8) – एक क्रॉस विंडो जालसाजी भेद्यता जो एक हमलावर को एक तैयार पेलोड के माध्यम से OAuth प्रमाणीकरण प्रवाह का दुरुपयोग करने में सक्षम बनाती है

यद्यपि खामियों के सक्रिय दोहन का कोई सबूत नहीं है, फिर भी उपयोगकर्ताओं को संभावित खतरों से बचने के लिए पैच लागू करने की सिफारिश की जाती है।

क्या आपको यह लेख रोचक लगा? हमें फ़ॉलो करें ट्विटर और Linkedin हमारे द्वारा पोस्ट की गई अधिक विशिष्ट सामग्री पढ़ने के लिए।

Source: TheHackerNews

Similar Posts

A Hacker’s Guide to Password Cracking – OfficialSarkar

ByOfficial Sarkar

Nov 07, 2024The Hacker NewsPassword Security / Network Security Defending your organization’s security is like fortifying a castle—you need to understand where attackers will strike and how they’ll try to breach your walls. And hackers are always searching for weaknesses, whether it’s a lax password policy or a forgotten backdoor. To build a stronger defense,…

New SnailLoad Attack Exploits Network Latency to Spy on Users’ Web Activities – OfficialSarkar

ByOfficial Sarkar

28 जून, 2024न्यूज़रूमनेटवर्क सुरक्षा / डेटा संरक्षण ग्राज़ यूनिवर्सिटी ऑफ टेक्नोलॉजी के सुरक्षा शोधकर्ताओं के एक समूह ने स्नेललोड नामक एक नए साइड-चैनल हमले का प्रदर्शन किया है, जिसका उपयोग उपयोगकर्ता की वेब गतिविधि का दूर से पता लगाने के लिए किया जा सकता है। शोधकर्ताओं ने कहा, “स्नेललोड सभी इंटरनेट कनेक्शनों पर मौजूद रुकावट…

CrowdStrike Reveals Root Cause of Global System Outages – OfficialSarkar

ByOfficial Sarkar

Aug 07, 2024Ravie LakshmananCybersecurity / Incident Response Cybersecurity company CrowdStrike has published its root cause analysis detailing the Falcon Sensor software update crash that crippled millions of Windows devices globally. The “Channel File 291” incident, as originally highlighted in its Preliminary Post Incident Review (PIR), has been traced back to a content validation issue that…

New Android Trojan “BlankBot” Targets Turkish Users’ Financial Data – OfficialSarkar

ByOfficial Sarkar

Aug 05, 2024Ravie LakshmananMobile Security / Financial Security Cybersecurity researchers have discovered a new Android banking trojan called BlankBot targeting Turkish users with an aim to steal financial information. “BlankBot features a range of malicious capabilities, which include customer injections, keylogging, screen recording and it communicates with a control server over a WebSocket connection,” Intel…

This AI-Powered Cybercrime Service Bundles Phishing Kits with Malicious Android Apps – OfficialSarkar

ByOfficial Sarkar

A Spanish-speaking cybercrime group named GXC Team has been observed bundling phishing kits with malicious Android applications, taking malware-as-a-service (MaaS) offerings to the next level. Singaporean cybersecurity company Group-IB, which has been tracking the e-crime actor since January 2023, described the crimeware solution as a “sophisticated AI-powered phishing-as-a-service platform” capable of targeting users of more…

New Adware Campaign Targets Meta Quest App Seekers – OfficialSarkar

ByOfficial Sarkar

22 जून, 2024न्यूज़रूमफ़िशिंग हमला / एडवेयर एक नया अभियान विंडोज़ के लिए मेटा क्वेस्ट (पूर्व में ओकुलस) एप्लीकेशन की खोज करने वाले उपयोगकर्ताओं को एड्सएग्जॉस्ट नामक एक नए एडवेयर परिवार को डाउनलोड करने के लिए प्रेरित कर रहा है। साइबर सुरक्षा फर्म ईसेंटायर ने कहा, “यह एडवेयर संक्रमित डिवाइसों से स्क्रीनशॉट निकालने और नकली कीस्ट्रोक्स…

Leave a Reply

Your email address will not be published. Required fields are marked *