Tilkynnt var um alvarlegan veikleika í Community Edition (CE) og Enterprise Edition (EE) hjá GitLab. GitLab hefur gefið út öryggisuppfærslur sem ná til nokkurra veikleika ásamt þess sem metinn er alvarlegur (e. critical). CERT-IS mælir með að uppfært sé eins fljótt og auðið er í útgáfu þar sem veikleikinn hefur verið lagfærður.
CVE-2024-0402
Veikleikinn er með CVSSv3 einkunn 9.9 og er galli sem óauðkenndur árásaraðili getur misnotað í ferlinu við að búa til GitLab vinnusvæði (e. workspace) sem getur leitt til skrifa á skrám (e. arbitrary file write) á GitLab þjóni [1,2].
Eftirfarandi kerfi er veikt fyrir gallanum:
Community Edition (CE) og Enterprise Edition (EE): 16.0 (fyrir 16.5.8), 16.6 (fyrir 16.6.6), 16.7 (fyrir 16.7.4), 16.8 (fyrir 16.8.1)
Veikleikinn hefur verið lagfærður í eftirfarandi útgáfu:
Community Edition (CE) og Enterprise Edition (EE): 16.5.8, 16.6.6, 16.7.4, 16.8.1
Tilvísanir:
[1] https://about.gitlab.com/releases/2024/01/25/critical-security-release-gitlab-16-8-1-released/#arbitrary-file-write-while-creating-workspace
[2] https://nvd.nist.gov/vuln/detail/CVE-2024-0402