Уязвимость в GitLab, позволяющая запустить pipeline-работы под другим пользователем

Все новости из мира ОС Linux, BSD, Unix
Ответить
Аватара пользователя
[Ботя]
Тролль
Тролль
Сообщения: 89722
Зарегистрирован: 07 мар 2019, 15:48
ОС: MSDOS

Уязвимость в GitLab, позволяющая запустить pipeline-работы под другим пользователем

Сообщение [Ботя] » 27 июн 2024, 13:30

Опубликованы корректирующие обновления платформы для организации совместной разработки - GitLab 17.1.1, 17.0.3, 16.11.5, 16.10.8, 16.9.9, 16.8.8, 16.7.8 и 16.6.8, в которых устранены 14 уязвимостей. Одной из проблем (СVE-2024-5655), которая проявляется начиная с выпуска GitLab 15.8, присвоен критический уровень опасности. Уязвимость позволяет запустить работы в конвейере непрерывной интеграции (pipeline jobs) под произвольным пользователем. Выполнение своей работы в контексте другого пользователя позволяет атакующему получить доступ к внутренним репозиториям и закрытым проектам этого пользователя.

Подробнее...

Ответить

Вернуться в «Новости *nix»