GitLab telah merilis pembaruan yang sangat penting untuk mengatasi sejumlah kerentanan, salah satu kerentanan paling parah (CVE-2024-6678) memungkinkan penyerang melakukan pipeline sebagai pengguna pada kondisi tertentu.
Dirilis sejumlah versi 17.3.2, 17.2.5, dan 17.1.7 baik untuk GitLab Community Edition (CE) dan Enterprise Edition (EE), serta menutup total 18 masalah keamanan sebagai bagian dari pembaruan terjadwal.
Dengan skor keparahan kritis yang tinggi sebesar 9.9, kerentanan CVE-2024-6678 dapat memungkinkan penyerang untuk mengeksekusi tindakan penghentian sistem sebagai pemilik hak penghentian tindakan.
Tingkat keparahan kelemahan ini berasal dari potensi eksploitasi jarak jauh, kurangnya interaksi pengguna, dan rendahnya hak istimewa diperlukan untuk mengeksploitasinya.
GitLab memperingatkan bahwa masalah ini memengaruhi versi CE/EE dari 8.14 hingga 17.1.7, versi dari 17.2 sebelum 17.2.5, dan versi dari 17.3 sebelum 17.3.2.
Pipeline GitLab adalah alur kerja otomatis yang digunakan untuk membuat, menguji, dan menerapkan kode, bagian dari sistem CI/CD (Continuous Integration/Continuous Delivery) GitLab.
Mereka dirancang untuk menyederhanakan proses pengembangan perangkat lunak dengan mengotomatiskan tugas yang berulang dan memastikan bahwa perubahan pada basis kode diuji dan diterapkan secara konsisten.
GitLab telah mengatasi kerentanan eksekusi pipeline pada pengguna yang tidak berhak berkali-kali dalam beberapa bulan terakhir, termasuk pada bulan Juli 2024 memperbaiki CVE-2024-6385 dan bulan Juni 2024 memperbaiki CVE-2024-5655, serta di bulan September 2023 untuk menambal CVE-2023-5009, semuanya dinilai kritis.
Buletin Gitlab tersebut juga mencantumkan empat masalah dengan tingkat keparahan tinggi dengan skor antara 6.7 – 8.5, yang berpotensi memungkinkan penyerang mengganggu layanan, menjalankan perintah tidak sah, atau membahayakan sumber daya sensitif. Permasalahannya dirangkum sebagai berikut:
CVE-2024-8640: Dampak pada GitLab Enterprise Edition mulai versi 16.11.
CVE-2024-8635: Mempengaruhi GitLab Enterprise Edition mulai versi 16.8.
CVE-2024-8124: Berdampak GitLab Community Edition dan Enterprise Edition mulai versi 16.4.
CVE-2024-8641: Berdampak GitLab Community Edition dan Enterprise Edition mulai versi 13.7.
Untuk petunjuk pembaruan, kode sumber, dan paket, lihat portal unduhan resmi GitLab. Paket GitLab Runner terbaru tersedia di sini.
Dikutip dari : BleepingComputer