Beveiligingsadvies NCSC-2024-0289 [1.00] [M/H] Kwetsbaarheid verholpen in GitLab CE/EE
Kwetsbaarheid Verholpen in GitLab CE/EE: Details en Oplossingen
Inleiding
Een kwetsbaarheid in GitLab CE (Community Edition) en EE (Enterprise Edition) is onlangs verholpen. Deze kwetsbaarheid stelde kwaadwillenden in staat om misbruik te maken van het Continuous Integration/Continuous Deployment (CI/CD) pipeline proces.
Publicatie en Beoordeling
De details van deze kwetsbaarheid zijn gepubliceerd in security advisory NCSC-2024-0289. Hieronder vindt u de belangrijkste kenmerken en informatie over de risico’s en schade:
- Publicatiedatum: Vandaag
- Kans op Exploitatie: Medium
- Potentiële Schade: Hoog
Gedetailleerde Informatie van de Kwetsbaarheid
Omschrijving
In GitLab CE/EE was een kwetsbaarheid aanwezig die een kwaadwillende onder bepaalde omstandigheden kon misbruiken om een CI/CD-pipeline proces te starten als een willekeurige gebruiker. Dit betekent dat een aanvaller acties kon ondernemen namens een andere gebruiker, wat een ernstige inbreuk op de veiligheid en vertrouwelijkheid van het systeem zou zijn.
Bereik
De kwetsbaarheid was aanwezig in de volgende versies van GitLab:
- Versies: 15.8, 17.0, 17.1
Oplossingen
GitLab heeft updates uitgebracht om de kwetsbaarheid te verhelpen. De beveiligingspatches zijn beschikbaar in de volgende versies:
- GitLab CE/EE 17.1.2
- GitLab CE/EE 17.0.4
- GitLab CE/EE 16.11.6
Voor meer informatie over deze patches, kunt u de volgende bronnen raadplegen:
CVE-Details
De kwetsbaarheid is geïdentificeerd met de CVE (Common Vulnerabilities and Exposures) ID:
Download Opties
U kunt de gedetailleerde advisory downloaden in verschillende formaten:
- Signed-PGP
- CSAF
- [Text Bestanden](https://advisories.ncsc.nl/download?ref=NCSC-2024-0289 [1.00]&format=plain)
- [CSAF Signatuur](https://advisories.ncsc.nl/download?ref=NCSC-2024-0289 [1.00]&format=csaf_sig)
Het NCSC (Nationaal Cyber Security Centrum) heeft dit beveiligingsadvies met de grootst mogelijke zorg samengesteld. Ondanks de zorgvuldigheid kan het NCSC niet instaan voor de volledigheid, juistheid of voortdurende actualiteit van het advies. De informatie is uitsluitend bedoeld als algemene informatie voor professionele partijen en hieraan kunnen geen rechten worden ontleend.
Het NCSC en de Staat zijn niet aansprakelijk voor eventuele schade voortvloeiend uit het gebruik of de onmogelijkheid van het gebruik van dit advies. Op dit beveiligingsadvies is Nederlands recht van toepassing, en alle geschillen zullen worden voorgelegd aan de exclusief bevoegde rechter te Den Haag.
Conclusie
Het is cruciaal om de genoemde updates zo snel mogelijk te installeren om de beveiliging van uw GitLab CE/EE omgeving te waarborgen. Alhoewel deze updates de gedocumenteerde kwetsbaarheid aanpakken, wordt gebruikers aangeraden om regelmatig te controleren op nieuwe beveiligingsreleases en advisories.
Voor verdere vragen of ondersteuning, kunt u de officiële GitLab documentatie raadplegen of contact opnemen met de GitLab support.
Een beveiligingsadvies wordt door het NCSC gepubliceerd naar aanleiding van een recent gevonden kwetsbaarheid of geconstateerde dreiging. In een beveiligingsadvies staat de beschrijving, de mogelijke gevolgen en mogelijke oplossingen van de kwetsbaarheid of dreiging.
Mitigerende maatregel beschikbaar op advisories.ncsc.nl
---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----Opzoek naar de laatste updates uit onze securitylog?
---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----