In den Korrektur-Updates der Plattform für die Zusammenarbeit GitLab 14.8.2, 14.7.4 und 14.6.5 wurde eine kritische Sicherheitsanfälligkeit (CVE-2022-0735) behoben, die es unbefugten Benutzern ermöglichte, Registrierungstoken im GitLab Runner zu extrahieren. Dieser wird zur Ausführung von Handlern beim Build-Prozess des Projekts in einem kontinuierlichen Integrationssystem verwendet. Weitere Details werden derzeit nicht veröffentlicht; es wird lediglich auf eine Informationsleckage bei der Nutzung von Quick Actions hingewiesen.
Das Problem wurde von den Mitarbeitern von GitLab entdeckt und betrifft die Versionen von 12.10 bis 14.6.5, von 14.7 bis 14.7.4 sowie von 14.8 bis 14.8.2. Nutzern, die eigene GitLab-Installationen betreiben, wird empfohlen, das Update so schnell wie möglich zu installieren oder einen Patch anzuwenden. Das Problem wurde durch die Einschränkung des Zugangs zu den Quick Actions-Kommandos auf Benutzer mit Schreibberechtigungen behoben. Nach der Installation des Updates oder der spezifischen Patches 'token-prefix' werden vorher für Gruppen und Projekte erstellte Registrierungstoken im Runner zurückgesetzt und neu generiert.
Neben einer kritischen Sicherheitsanfälligkeit in den neuen Versionen wurden auch 6 weniger schwerwiegende Schwachstellen behoben, die dazu führen können, dass nicht privilegierte Benutzer andere Benutzer in Gruppen hinzufügen, Benutzer durch Manipulation des Inhalts von Snippets desinformieren, Umgebungsvariablen über die Zustellmethode sendmail ausleiten, die Existenz von Benutzern über die GraphQL-API feststellen, Passwörter beim Spiegeln von Repositories über SSH im Pull-Modus ausleiten und DoS-Angriffe über das Kommentarsystem durchführen.
Quelle: opennet.ru
