Verbeterde Beveiliging van GitLab CE/EE: Inzicht in Kwetsbaarheden en Oplossingen

GitLab heeft onlangs belangrijke beveiligingsupdates uitgebracht voor zijn Community Edition (CE) en Enterprise Edition (EE), gericht op het aanpakken van verschillende kwetsbaarheden die van invloed zijn op de versies 16.0 tot en met 17.5.2. Dit document biedt een kort overzicht van de ontdekte problemen, de potentiële impact ervan, en de voorgestelde oplossingen.

Belangrijkste Kwetsbaarheden

1. Onjuiste Beperking van Gerenderde UI-Lagen of Frames:

   • Deze kwetsbaarheid stelt aanvallers in staat om bepaalde UI-elementen verkeerd te renderen, wat kan leiden tot phishing-aanvallen of het manipuleren van gebruikersinterfaces.

2. Onjuiste Neutralisatie van Invoer Tijdens Webpagina Generatie (‘Cross-site Scripting’):

   • Door onvoldoende correcte verwerking en encoding van ingevoerde gegevens kunnen aanvallers kwaadaardig JavaScript code injecteren. Dit verhoogt het risico op gevoelige data-exfiltratie en sessieovername bij de eindgebruikers als Content Security Policy (CSP) niet is ingeschakeld.

3. Onjuiste Autorisatie:

   • Deze kwetsbaarheid laat onbevoegde gebruikers toegang verkrijgen tot functies of gegevens die beperkte toegang vereisen, met gevolgen die de integriteit en vertrouwelijkheid van kritieke gegevens binnen de applicatie in gevaar kunnen brengen.

Omschrijving van De Risico’s

De kwetsbaarheden in GitLab CE/EE stellen kwaadwillenden in staat om ongeautoriseerde volledige API-toegang te verkrijgen via de Device OAuth-stroom, wat ernstige gevolgen kan hebben voor organisaties die GitLab gebruiken. Onveilige uitvoerencoding kan zorgen voor cross-site scripting (XSS) aanvallen wanneer CSP niet actief is, waardoor kwaadwillenden de kans krijgen om kwaadaardige JavaScript in Analytics Dashboards te injecteren. Dit kan vervolgens leiden tot ongeautoriseerde toegang en manipulatie van gevoelige gegevens. Bovendien bestaat er een risico van ongeautoriseerde toegang tot de Kubernetes-agent in specifieke configuraties.

Bereik van de Kwetsbaarheden

De kwetsbaarheden zijn geïdentificeerd in de volgende GitLab CE/EE versies:

• Versies tussen 17.5.1, 17.4.3 en 17.3.6.

Gebruikers wordt aangeraden om hun GitLab-installaties zo snel mogelijk bij te werken om de beveiligingsrisico’s te mitigeren.

Oplossingen en Aanbevelingen

GitLab heeft updates uitgebracht die deze kwetsbaarheden aanpakken. Zie de officiële GitLab release notes voor gedetailleerde informatie en installatie-instructies.

Bekende CVEs

De volgende CVEs zijn van toepassing op deze kwetsbaarheden:

• CVE-2024-7404
• CVE-2024-8180
• CVE-2024-8648
• CVE-2024-9693
• CVE-2024-10240

Vrijwaring

Het Nationaal Cyber Security Centrum (NCSC) heeft dit beveiligingsadvies met de grootst mogelijke zorg en precisie opgesteld. Echter, NCSC staat niet in voor de volledigheid of juistheid van de verstrekte informatie. Gebruik wordt verondersteld op eigen risico, en NCSC is niet aansprakelijk voor eventuele schade door gebruik of de onbruikbaarheid van dit advies. Op dit document is het Nederlandse recht van toepassing, en alle geschillen die hieruit voortvloeien worden voorgelegd aan de bevoegde rechtbank in Den Haag.

Een beveiligingsadvies wordt door het NCSC gepubliceerd naar aanleiding van een recent gevonden kwetsbaarheid of geconstateerde dreiging. In een beveiligingsadvies staat de beschrijving, de mogelijke gevolgen en mogelijke oplossingen van de kwetsbaarheid of dreiging.

Mitigerende maatregel beschikbaar op advisories.ncsc.nl

---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----
Opzoek naar de laatste updates uit onze securitylog?
---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----