Kwetsbaarheid Verholpen in GitLab CE/EE: Details en Oplossingen

Inleiding

Een kwetsbaarheid in GitLab CE (Community Edition) en EE (Enterprise Edition) is onlangs verholpen. Deze kwetsbaarheid stelde kwaadwillenden in staat om misbruik te maken van het Continuous Integration/Continuous Deployment (CI/CD) pipeline proces.

Publicatie en Beoordeling

De details van deze kwetsbaarheid zijn gepubliceerd in security advisory NCSC-2024-0289. Hieronder vindt u de belangrijkste kenmerken en informatie over de risico’s en schade:

• Publicatiedatum: Vandaag
• Kans op Exploitatie: Medium
• Potentiële Schade: Hoog

Gedetailleerde Informatie van de Kwetsbaarheid

Omschrijving

In GitLab CE/EE was een kwetsbaarheid aanwezig die een kwaadwillende onder bepaalde omstandigheden kon misbruiken om een CI/CD-pipeline proces te starten als een willekeurige gebruiker. Dit betekent dat een aanvaller acties kon ondernemen namens een andere gebruiker, wat een ernstige inbreuk op de veiligheid en vertrouwelijkheid van het systeem zou zijn.

Bereik

De kwetsbaarheid was aanwezig in de volgende versies van GitLab:

• Versies: 15.8, 17.0, 17.1

Oplossingen

GitLab heeft updates uitgebracht om de kwetsbaarheid te verhelpen. De beveiligingspatches zijn beschikbaar in de volgende versies:

• GitLab CE/EE 17.1.2
• GitLab CE/EE 17.0.4
• GitLab CE/EE 16.11.6

Voor meer informatie over deze patches, kunt u de volgende bronnen raadplegen:

• NVD Beveiligingsdetails
• CVE Beveiligingsrecord
• GitLab Patch Release Announcement

CVE-Details

De kwetsbaarheid is geïdentificeerd met de CVE (Common Vulnerabilities and Exposures) ID:

• CVE-2024-6385

Download Opties

U kunt de gedetailleerde advisory downloaden in verschillende formaten:

• Signed-PGP
• CSAF
• PDF
• [Text Bestanden](https://advisories.ncsc.nl/download?ref=NCSC-2024-0289 [1.00]&format=plain)
• [CSAF Signatuur](https://advisories.ncsc.nl/download?ref=NCSC-2024-0289 [1.00]&format=csaf_sig)

Het NCSC (Nationaal Cyber Security Centrum) heeft dit beveiligingsadvies met de grootst mogelijke zorg samengesteld. Ondanks de zorgvuldigheid kan het NCSC niet instaan voor de volledigheid, juistheid of voortdurende actualiteit van het advies. De informatie is uitsluitend bedoeld als algemene informatie voor professionele partijen en hieraan kunnen geen rechten worden ontleend.

Het NCSC en de Staat zijn niet aansprakelijk voor eventuele schade voortvloeiend uit het gebruik of de onmogelijkheid van het gebruik van dit advies. Op dit beveiligingsadvies is Nederlands recht van toepassing, en alle geschillen zullen worden voorgelegd aan de exclusief bevoegde rechter te Den Haag.

Conclusie

Het is cruciaal om de genoemde updates zo snel mogelijk te installeren om de beveiliging van uw GitLab CE/EE omgeving te waarborgen. Alhoewel deze updates de gedocumenteerde kwetsbaarheid aanpakken, wordt gebruikers aangeraden om regelmatig te controleren op nieuwe beveiligingsreleases en advisories.

Voor verdere vragen of ondersteuning, kunt u de officiële GitLab documentatie raadplegen of contact opnemen met de GitLab support.

Een beveiligingsadvies wordt door het NCSC gepubliceerd naar aanleiding van een recent gevonden kwetsbaarheid of geconstateerde dreiging. In een beveiligingsadvies staat de beschrijving, de mogelijke gevolgen en mogelijke oplossingen van de kwetsbaarheid of dreiging.

Mitigerende maatregel beschikbaar op advisories.ncsc.nl

---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----
Opzoek naar de laatste updates uit onze securitylog?
---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----