Veiligheidsupdates voor GitLab: Kwetsbaarheden Verholpen

Onlangs zijn er beveiligingsupdates uitgebracht voor GitLab om meerdere kwetsbaarheden te verhelpen. Deze kwetsbaarheden zijn geïdentificeerd in GitLab CE/EE versies 11.0 tot en met 17.6.2 en hebben gevolgen voor verschillende coderingselementen en functionaliteiten binnen het platform.

Belangrijkste Bevindingen

Kenmerken van de Kwetsbaarheden

• Verwijzing naar Onbetrouwbare Sites: Er is een kwetsbaarheid gevonden waarbij gebruikers omgeleid kunnen worden naar onbetrouwbare websites, wat kan leiden tot phishing-aanvallen.
• Opslag van Gevoelige Informatie: Bepaalde gevoelige gegevens kunnen onbedoeld worden opgeslagen in logbestanden, wat het risico op datalekken vergroot.
• Onjuiste Padbeperkingen: Een path traversal-fout maakt het mogelijk om paden te manipuleren om toegang te krijgen tot ongeautoriseerde bestanden.
• Cross-site Scripting (XSS): Invoerinjectie kan ertoe leiden dat scripts worden uitgevoerd binnen de webpagina, wat de integriteit van de site in gevaar brengt.
• Onjuiste Autorisatie: Gebruikers kunnen acties uitvoeren zonder de juiste bevoegdheden, wat een onbevoegde toegang mogelijk maakt.
• Onjuiste Eigendomsrechten: Fouten in de toewijzing van eigendomsrechten kunnen leiden tot ongeautoriseerde controle over bepaalde componenten.
• Inefficiëntie in Computationele Algoritmen: Slechte algoritmische complexiteit kan zorgen voor onnodige belasting van de systeembronnen.
• Onbeperkte Resource Allocatie: De afwezigheid van limieten op het gebruik van systeembronnen kan leiden tot systeemuitval.

Gedetailleerde Beschrijving

De versies die worden beïnvloed hebben de mogelijkheid om namen te creëren die overeenkomen met bestaande domeinen, wat kan leiden tot verwarring en misleiding. Daarnaast bestaat er een kans dat ongeautoriseerde toegang wordt verkregen tot vertrouwelijke incidenttitels via de Wiki History Diff-functie. Bovendien kunnen NEL-headers worden geïnjecteerd in Kubernetes-proxyantwoorden, hetgeen een potentieel risico inhoudt voor gegevensverlies. Er is ook het risico dat gevoelige gegevens via GraphQL-mutaties worden gelogd.

Reikwijdte en Betrokken Producten

Deze problemen zijn gemeld met betrekking tot GitLab-community en enterprise-edities (GitLab CE/EE) en hebben invloed op de open-source aspecten van deze platforms.

Oplossingen en Updates

GitLab heeft updates uitgebracht die de genoemde kwetsbaarheden aanpakken. Gebruikers van de betreffende versies worden dringend geadviseerd om hun systemen bij te werken naar de nieuwste versie. Meer informatie over de patch-updates is hier te vinden: GitLab Release 17.6.2.

Relevante CVE’s

Enkele CVE-identifiers verbonden aan deze kwetsbaarheden zijn:

• CVE-2024-8116
• CVE-2024-8179
• CVE-2024-8233
• CVE-2024-8647
• CVE-2024-8650

Disclaimer

Hoewel de informatie in dit advies zorgvuldig is samengesteld, is het mogelijk dat de volledigheid, accuraatheid of actualiteit niet volledig kan worden gegarandeerd. Dit advies is enkel bedoeld voor informatieve doeleinden en professioneel gebruik. Het gebruik van deze informatie geschiedt op eigen risico. Het NCSC en de Nederlandse Staat zijn niet verantwoordelijk voor enige schade voortvloeiend uit het gebruik van dit advies.

Op deze adviezen is het Nederlands recht van toepassing, en geschillen worden behandeld door de bevoegde rechtbank in Den Haag.

Een beveiligingsadvies wordt door het NCSC gepubliceerd naar aanleiding van een recent gevonden kwetsbaarheid of geconstateerde dreiging. In een beveiligingsadvies staat de beschrijving, de mogelijke gevolgen en mogelijke oplossingen van de kwetsbaarheid of dreiging.

Mitigerende maatregel beschikbaar op advisories.ncsc.nl

---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----
Opzoek naar de laatste updates uit onze securitylog?
---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----