Beveiligingsadvies NCSC-2024-0373 [1.00] [M/M] Kwetsbaarheden verholpen in GitLab Enterprise Edition en Community Edition

NCSC Beveiligingsadvies: Kwetsbaarheden in GitLab Enterprise en Community Edition

Inleiding

In dit beveiligingsadvies behandelt het Nationaal Cyber Security Centrum (NCSC) de recent verholpen kwetsbaarheden in GitLab Enterprise Edition (EE) en Community Edition (CE). Deze advisories worden automatisch omgezet naar HTML, waarbij de verbindende PGP-ondertekende versies leidend zijn.

Samenvatting

GitLab heeft meerdere kwetsbaarheden verholpen die kwaadwillende actoren in staat zouden kunnen stellen om een Denial-of-Service (DoS) aanval uit te voeren of verhoogde rechten te verkrijgen, waardoor ze acties kunnen uitvoeren in de context van een andere gebruiker, inclusief gebruikers met administrator-rechten.

Gevolgen van de Kwetsbaarheden

De kwetsbaarheden in GitLab kunnen uiteenlopende schadelijke gevolgen hebben:

Verhoogde rechten: Onbevoegde gebruikers kunnen acties uitvoeren die normaal gesproken zijn voorbehouden aan gebruikers met hogere rechten.
Denial-of-Service: Het systeem kan onbruikbaar worden gemaakt.
Server-side aanvallen: Ongeautoriseerde toegang tot servers of database informatie.

Kwetsbaarheden en Kenmerken

Kenmerken van de Kwetsbaarheden

De volgende lijst van kenmerken geeft een duidelijk overzicht van de verschillende kwetsbaarheden die zijn geïdentificeerd:

Incorrect Authorization
Improper Protection of Alternate Path
Authentication Bypass by Spoofing
Server-Side Request Forgery (SSRF)
CWE-840
Privilege Defined With Unsafe Actions
Improper Neutralization of Special Elements used in a Command (Command Injection)
Insertion of Sensitive Information into Log File
Privilege Context Switching Error
Inefficient Regular Expression Complexity
Exposure of Sensitive System Information to an Unauthorized Control Sphere
Generation of Error Message Containing Sensitive Information
Missing Authorization
URL Redirection to Untrusted Site (Open Redirect)

Bereik van de Kwetsbaarheden

De kwetsbaarheden betreffen de volgende platforms en productversies:

Platforms: GitLab
Producten: GitLab Enterprise en Community Editions, met versies variërend van 11.2 tot 17.3.2

Gedekte Versies

- 11.2
- 12.9
- 13.3
- 13.7
- 15.10
- 16.11
- 16.4
- 16.5
- 16.6
- 16.8
- 17.1.0 tot 17.1.7
- 17.2.0 tot 17.2.5
- 17.3.0 tot 17.3.2
- 8.14

Oplossingen

GitLab heeft updates uitgebracht om deze kwetsbaarheden te verhelpen. Het is sterk aanbevolen om de systemen zo snel mogelijk bij te werken naar de laatste versies. Meer details zijn te vinden via de volgende link: GitLab Release Patch.

CVE’s

De kwetsbaarheden zijn geclassificeerd onder de volgende CVE-entries:

Bij gebruik van dit beveiligingsadvies gaat u akkoord met de volgende voorwaarden. Het NCSC heeft bij de samenstelling van dit beveiligingsadvies de grootst mogelijke zorg betracht, maar kan niet instaan voor de volledigheid, juistheid of actualiteit van de informatie. De informatie is bedoeld als algemene informatie voor professionele partijen. Het NCSC en de Staat zijn niet aansprakelijk voor enige schade ten gevolge van het gebruik of de onmogelijkheid van het gebruik van dit advies.

Slot

Voor de nieuwste informatie en updates kunt u terecht op de NCSC advisories website.

Een beveiligingsadvies wordt door het NCSC gepubliceerd naar aanleiding van een recent gevonden kwetsbaarheid of geconstateerde dreiging. In een beveiligingsadvies staat de beschrijving, de mogelijke gevolgen en mogelijke oplossingen van de kwetsbaarheid of dreiging.

Mitigerende maatregel beschikbaar op advisories.ncsc.nl

---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----
Opzoek naar de laatste updates uit onze securitylog?
---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----

Koelman.IT