GitLab обновил свои Community и Enterprise редакции, чтобы исправить критическую уязвимость, позволяющую зловредным акторам запускать рабочие процессы в качестве любого другого пользователя платформы.
В своих заметках о выпуске патча, опубликованных на сайте GitLab, компания заявила, что «настоятельно» рекомендует пользователям немедленно обновить свои установки до последних версий, добавив, что GitLab.com и GitLab Dedicated уже исправлены.
Последние версии — это 17.1.2, 17.0.4, 16.11.6, a уязвимые версии находятся между 15.8 и 16.11.6, 17.0 и 17.0.4, а также 17.1 и 17.1.2.
Критическая уязвимость, обнаруженная через программу вознаграждения за нахождение уязвимостей HackerOne, позволяет злоумышленнику запускать рабочие процессы от имени другого пользователя в определенных обстоятельствах.
GitLab Pipeline — это мощная функция системы Continuous Integration/Continuous Deployment (CI/CD) GitLab. Он автоматизирует процесс сборки, тестирования и развертывания кода, позволяя разработчикам гарантировать надежность и готовность своего программного обеспечения к выпуску. С помощью конвейера разработчики могут оптимизировать процесс разработки, автоматизировать повторяющиеся задачи и поддерживать высокое качество кода.
Уязвимость сейчас отслеживается как CVE-2024-6385 и имеет балл критичности 9.6/10 (критический).
GitLab — это платформа DevOps с более чем 30 миллионами зарегистрированных пользователей, согласно Bleeping Computer. Более половины компаний Fortune 100 используют ее для своих потребностей в области DevOps, включая NASA, Intel, Siemens, Goldman Sachs и многие другие.
GitLab Community Edition (CE) — это бесплатная версия с открытым исходным кодом, которую в основном используют небольшие команды. Она включает основные функции, такие как управление исходным кодом, отслеживание ошибок и базовые возможности непрерывной интеграции/непрерывного развертывания (CI/CD).
Enterprise издание — это платная версия, предлагающая дополнительные функции, разработанные для поддержки крупных организаций с более сложными потребностями. Это издание включает расширенные функции безопасности, улучшенные возможности CI/CD, мониторинг производительности и инструменты соответствия. Оно также предлагает улучшенную поддержку для сотрудничества в крупном масштабе, управления проектами и оптимизации ресурсов.
Источник: TechRadar
