GitLab heeft meerdere kwetsbaarheden gedicht in zowel de Enterprise Edition als de Community Edition. De problemen zitten in een breed scala aan versies, van 9.1 tot vóór 18.11.7, 19.0 tot vóór 19.0.4 en 19.1 tot vóór 19.1.2. Het NCSC bracht er een advisory over uit.
De vervelendste vondst is een cross-site-scriptinglek: gebruikers met developer-rechten kunnen kwaadaardige scripts laten uitvoeren in de browser van andere gebruikers doordat invoer onvoldoende wordt opgeschoond. In een omgeving met veel externe of tijdelijke ontwikkelaars is dat een reëel risico.
Daarnaast verhelpt GitLab onder meer:
- gebrekkige autorisatiecontroles in GraphQL-operaties, waardoor gebruikers met auditor-rechten compliance-registraties konden aanpassen;
- een fout waardoor repositories konden verschillen tussen wat de webinterface toont en wat er daadwerkelijk wordt gedownload, via onjuiste verwerking van Git reference names;
- het ongeautoriseerd kunnen ontdekken van private projecten door onbevoegde gebruikers.
Zelfgehoste GitLab-servers zijn een aantrekkelijk doelwit: ze bevatten broncode, CI/CD-secrets en deploy-tokens. Beheerders van een eigen GitLab-installatie doen er goed aan bij de eerstvolgende gelegenheid te updaten naar 18.11.7, 19.0.4 of 19.1.2. Wie GitLab.com gebruikt hoeft niets te doen; die omgeving draait al op gepatchte versies.
Bron: NCSC-NL Advisories
Wekelijkse security-update in je inbox
Elke week de belangrijkste dreigingen, kwetsbaarheden en tips — gratis, geen spam.
Bij 2.400+ security-professionals. Afmelden kan altijd.