GitLab waarschuwt voor kritiek lek dat aanvaller pipeline laat uitvoeren

[Captain Kirk]

De populaire online DevOps-tool GitLab waarschuwt voor een kritieke kwetsbaarheid waardoor een aanvaller in bepaalde gevallen als willekeurige gebruiker een pipeline kan uitvoeren. De impact van het beveiligingslek (CVE-2024-6678) is op een schaal van 1 tot en met 10 beoordeeld met een 9.9. GitLab roept organisaties op om de beschikbaar gestelde update zo snel mogelijk te installeren.

Organisaties kunnen GitLab op hun eigen server of servers installeren. Het probleem is aanwezig in zowel de GitLab Community Edition (CE) als de Enterprise Edition (EE). Via een GitLab pipeline worden verschillende jobs binnen het ontwikkelproces stap voor stap met behulp van geautomatiseerde code uitgevoerd. Wanneer een softwareontwikkelaar nieuwe code aan zijn project op GitLab toevoegt wordt die door de pipeline uitgevoerd, getest en uitgerold.

GitLab geeft op dit moment niet veel details over de kwetsbaarheid prijs, behalve dat een aanvaller hierdoor in bepaalde gevallen als een willekeurige gebruiker een pipeline kan uitvoeren. Meer informatie zal het platform over dertig dagen bekendmaken, zoals het met alle kwetsbaarheden doet. Gebruikers van GitLab Community Edition en Enterprise Edition wordt aangeraden te updaten naar versies 17.3.2, 17.2.5 of 17.1.7.

 

bron: https://www.security.nl