Beveiligingsadvies NCSC-2024-0406 [1.00] [M/H] Kwetsbaarheden verholpen in Gitlab Enterprise Edition en Community Edition
GitLab Kwetsbaarheden Opgelost in Enterprise en Community Editions
GitLab heeft onlangs belangrijke updates uitgebracht om verschillende kwetsbaarheden in hun Enterprise Edition (EE) en Community Edition (CE) te verhelpen. Deze kwetsbaarheden zijn van kritiek belang omdat ze de potentiële mogelijkheid creëren voor aanvallers om gevoelige acties uit te voeren, zoals het veroorzaken van een Denial-of-Service, het verkrijgen van ongeoorloofde toegang tot gevoelige gegevens, en het uitvoeren van kwaadaardige code binnen de context van een andere gebruiker, waaronder ook beheerders.
Overzicht van de Kwetsbaarheden
De verholpen kwetsbaarheden omvatten onder andere:
- Incorrecte Autorisatie: Onjuiste controlemechanismen kunnen ongeautoriseerde toegang tot bepaalde systeemfuncties toestaan.
- Onjuiste Neutralisatie van Invoer Bij Webpagina Generatie (Cross-site Scripting): Deze kwetsbaarheid kan leiden tot het insluiten van kwaadaardige scriptcode in webpagina’s, die wordt uitgevoerd in de browser van de gebruiker.
- Server-Side Request Forgery (SSRF): Aanvallers kunnen server-side verzoeken genereren naar onbevoegde externe en interne locaties.
- Insluiting van Gevoelige Informatie in Broncode: Gevoelige gegevens kunnen per abuis worden blootgelegd in de broncode, waardoor onbevoegde toegang mogelijk is.
Bereik en Betreffende Versies
De volgende GitLab versies zijn vatbaar geweest voor deze kwetsbaarheden:
- GitLab Open Source: Versies 15.10 tot 17.4.2, inclusief diverse subversies zoals 17.2.9 en 17.3.5.
Platforms en producten die door deze kwetsbaarheden zijn getroffen, moeten dringend pleisters of updates installeren die deze problemen aanpakken.
Oplossingen en Aanbevelingen
GitLab heeft patches uitgebracht voor de genoemde versies. Gebruikers wordt aangeraden om hun systemen onmiddellijk bij te werken. Verdere details over de updates en een link naar de laatste patchinformatie zijn te vinden op de officiële GitLab release pagina: GitLab Patch Release.
CVE Referenties
Een lijst van CVE’s gerelateerd aan deze kwetsbaarheden:
- CVE-2024-5005
- CVE-2024-6530
- CVE-2024-8970
- CVE-2024-8977
- CVE-2024-9164
- CVE-2024-9596
- CVE-2024-9623
- CVE-2024-9631
Deze security advisory is met de grootst mogelijke zorg samengesteld door het NCSC. Het kan echter niet instaan voor de volledigheid of de actuele juistheid van de informatie. Het gebruik van deze informatie is op eigen risico en het NCSC of de Staat kunnen niet aansprakelijk worden gesteld voor enige schade die voortvloeit uit het gebruik ervan. Op dit advies is het Nederlandse recht van toepassing en geschillen worden behandeld door de bevoegde rechter in Den Haag.
In het belang van de beveiliging is het van cruciaal belang dat organisaties hun GitLab-installaties bijwerken om de beveiligingsproblemen te verhelpen. Zo wordt het risico geminimaliseerd dat kwetsbaarheden worden misbruikt.
Een beveiligingsadvies wordt door het NCSC gepubliceerd naar aanleiding van een recent gevonden kwetsbaarheid of geconstateerde dreiging. In een beveiligingsadvies staat de beschrijving, de mogelijke gevolgen en mogelijke oplossingen van de kwetsbaarheid of dreiging.
Mitigerende maatregel beschikbaar op advisories.ncsc.nl
---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----Opzoek naar de laatste updates uit onze securitylog?
---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----