Вторая за неделю критическая уязвимость в GitLab

31.08.2022 08:15

Компания GitLab опубликовала очередную серию корректирующих обновлений своей платформы для организации совместной разработки - 15.3.2, 15.2.4 и 15.1.6, в которых устранена критическая уязвимость (CVE-2022-2992), позволяющая аутентифицированному пользователю удалённо выполнить код на сервере. Как и уязвимость CVE-2022-2884, исправленная неделю назад, новая проблема присутствует в API для импорта данных из сервиса GitHub. Уязвимость проявляется в том числе в выпусках 15.3.1, 15.2.3 и 15.1.5, в которых была исправлена первая уязвимость в коде импорта из GitHub.

Подробности эксплуатации пока не приводятся. Информация об уязвимости передана в GitLab в рамках действующей на HackerOne программы выплаты вознаграждений за обнаружение уязвимостей, но в отличие от прошлой проблемы выявлена другим участником. В качестве обходного пути администратору рекомендуется отключить функцию импорта из GitHub (в web-интерфейсе GitLab: "Menu" -> "Admin" -> "Settings" -> "General" -> "Visibility and access controls" -> "Import sources" -> отключить "GitHub").

Кроме того, в предложенных обновлениях исправлено ещё 14 уязвимостей, две из которых помечены как опасные, десяти присвоен средний уровень опасности, а две отмечены как неопасные. Опасными признаны: уязвимость CVE-2022-2865, позволяющая добавить свой JavaScript-код на показываемые другим пользователям страницы через манипуляцию с цветными метками, а также уязвимость CVE-2022-2527, дающая возможность подставить своё содержимое через поле с описанием в шкале инцидентов (Incidents Timeline). Уязвимости средней степени опасности в основном связаны с возможностью совершить отказ в обслуживании.

исправить +4 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/57704-gitlab

Ключевые слова: gitlab

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (31)

1.3, Иваня (?), 08:36, 31/08/2022 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ] [к модератору]	–9 +/–

2.7, Минона (ok), 09:18, 31/08/2022 Скрыто ботом-модератором [к модератору]	+/–

1.8, Аноним (8), 09:31, 31/08/2022 [ответить] [﹢﹢﹢] [ · · · ]	+3 +/–
дружно переходим на Gitea

2.9, YetAnotherOnanym (ok), 09:39, 31/08/2022 [^] [^^] [^^^] [ответить]	–2 +/–
Ты что? Он же на Си! Там же дырени!

3.13, Аноним (13), 10:34, 31/08/2022 [^] [^^] [^^^] [ответить]	+5 +/–
Разве Gitea не на Go?

4.14, anonymous (??), 11:02, 31/08/2022 [^] [^^] [^^^] [ответить]	+5 +/–
главное что не на расте

4.16, YetAnotherOnanym (ok), 11:07, 31/08/2022 [^] [^^] [^^^] [ответить]	+1 +/–
> Разве Gitea не на Go? А, блин, перепутал, сорри.

5.23, Владимир (??), 19:16, 31/08/2022 [^] [^^] [^^^] [ответить]	+/–
>А, блин, перепутал, сорри. Фрактал простит ...

3.30, InuYasha (??), 00:14, 01/09/2022 [^] [^^] [^^^] [ответить]	+/–
CGit на C.

4.36, Аноним (36), 16:00, 01/09/2022 [^] [^^] [^^^] [ответить]	+1 +/–
> CGit на C. И кстати не замечен в приколах вида "вторая за неделю критическая уязвимость". Наверное потому что не пытается быть энтерпрайзным монстром пытающимся решать все проблемы человечества, вместо того чтобы быть интерфейсом к DVCS.

2.19, Аноним (19), 13:11, 31/08/2022 [^] [^^] [^^^] [ответить]	+/–
Давно было пора.

2.22, Аноним (-), 16:54, 31/08/2022 [^] [^^] [^^^] [ответить]	+6 +/–
Вроде Blender недавно перешел на Gitea. А это уже весомый аргумент. А чем Gitea так крут? Кто пользовался?

3.24, Аноним (24), 20:18, 31/08/2022 [^] [^^] [^^^] [ответить]	+1 +/–
просто гитлаб крут, пока не начинаешь его использовать. Нужны зеркала репозиториев (pull)? — плати деньги. А в gitea они "бесплатные" Ты прикрутил линтер/etc… и оно в MR сгенерировало много коментариев? — больше ты не видишь коментариев в этом MR Тебе захотелось вынести часть CI в репозиторий доступный только безопасникам (для их нужд)? А все, CI работать не будет, т.к. для запуска нужны права девелопера в репозитории безопасников. Решил хотя бы использовать защищенную ветку? А теперь давай всем права мэнтейнера Хочешь скрыть в CI пароль? — Используй только буквенно-цифровые комбинации. И т.д. И баги висят годами В случае гитлаба, если не готов платить деньги, то костылишь некоторые возможности, если готов, то все равно костылишь.

4.26, freehck (ok), 21:40, 31/08/2022 [^] [^^] [^^^] [ответить]

+/–

> Нужны зеркала репозиториев (pull)? — плати деньги. А в gitea они "бесплатные"

Давно уже в Community Edition, то есть бесплатно. Правда, я не понимаю, зачем они вообще там нужны, ибо развернуть свой docker registry mirror -- блин, ну просто контейнер поднять. Было бы зачем огород городить.

> Тебе захотелось вынести часть CI в репозиторий доступный только безопасникам (для их нужд)? А все, CI работать не будет, т.к. для запуска нужны права девелопера в репозитории безопасников.

Создайте в проекте безопасников токен с минимальным набором нужных привилегий и триггерите пайплайн этого проекта через него.

> Ты прикрутил линтер/etc… и оно в MR сгенерировало много коментариев? — больше ты не видишь коментариев в этом MR

Понимаю, о чём вы. Да, бага с просмотром тестов висела очень долго. Но в конечном итоге её ж пофиксили.

> Хочешь скрыть в CI пароль? — Используй только буквенно-цифровые комбинации.

Ну не только буквенно-циферные. Там есть некоторое количество спецсимволов:
https://git.docrobot.ru/help/ci/variables/index#mask-a-cicd-variable

В любом случае mask -- это не 100% защита, и это надо понимать.

5.28, Аноним (28), 22:32, 31/08/2022 [^] [^^] [^^^] [ответить]

+/–

> Давно уже в Community Edition, то есть бесплатно.

а гитлабовцы пишут, что премиум https://docs.gitlab.com/ee/user/project/repository/mirror/pull.html

> Создайте в проекте безопасников токен с минимальным набором нужных привилегий и триггерите пайплайн этого проекта через него.

курлом что ли? тогда между пайплайнами нет связи и, если пайплайн безопасников выполнился не успешно, то пайплайн разработчиков об этом никак не узнает. Я нашел только открытые тикеты на эту тему

> Но в конечном итоге её ж пофиксили.

мы уже извернулись через отправку почты и чаты. Криво, но три года ждать не могли.

> В любом случае mask -- это не 100% защита, и это надо понимать.

да это понятно, учитывая, в т.ч. и доступ к .gitlab-ci. Но к примеру тот же дженкинс не позволяет просматривать или редактировать секреты после сохранения, генерирует +/- случайные пути к файлам и т.д.

Просто в случае gitea знаешь на что подписался: она идет бесплатно и нужное приходится доделывать самому. А тут вроде деньги заплатил, а нужное приходится доделывать самому :)

6.29, freehck (ok), 23:44, 31/08/2022 [^] [^^] [^^^] [ответить]	+/–
А, эти зеркала Пардон Я подумал, что речь про registry mirror Да, эти -- пока... большой текст свёрнут, показать

7.31, Аноним (24), 00:55, 01/09/2022 [^] [^^] [^^^] [ответить]

+/–

> Доступ в .gitlab-ci.yml тут не при чём, ибо что тебе толку от возможности его поправить, если пароль от волта с реквизитами прода доступен только в protected-бранче.

ну вот либо используешь возможности гитлаба и живешь без protected-бранчей или с лишними мэнтейнерами, либо подставляешь костыли
Вроде у них в планах есть переделка прав и ролей, но неизвестно когда

спасибо за скрипт. Я вспомнил, что находил уже подобное https://gitlab.com/finestructure/pipeline-trigger
только не помню, почему не использовали

8.34, freehck (ok), 10:47, 01/09/2022 [^] [^^] [^^^] [ответить]	+/–
Ну я бы не сказал, что это прям костыли Я видел много систем CI CD И везде при... текст свёрнут, показать

3.25, freehck (ok), 21:17, 31/08/2022 [^] [^^] [^^^] [ответить]

+3 +/–

Как раз недавно писал на эту тему: https://www.opennet.me/openforum/vsluhforumID3/128263.html#42

Распишу чуть более подробно именно в плане сравнения.

Gitea может быть крута, если ты умеешь её готовить. А готовить её надо уметь. Она из коробки предоставляет только минимально необходимый функционал, всё прочее необходимое для функционирования IT-производства реализуется сторонним софтом и интеграциями. Так, например, изначально в Gitea нет даже пайплайнов. Но вы можете поднять Drone и настроить интеграцию с Gitea. И вот, какие-то пайплайны у вас есть. Но вот допустим хотите вы собрать контейнер. Заюзали вы Drone с плагином для докера, собрали, надо запушить. А куда? Нужен docker registry. Извольте поднять самостоятельно. Ну и собственно додумайте сами ответ на впоросы "а что если мы собираем не докер имидж, а иные артефакты?" или "а что там c кэшированием?". Всё это потребует вашего времени. Тем не менее, если вы всё-таки его потратите на Gitea, то вы сможете её довести до состояния конфетки, которая будет делать ровно то, что вам нужно.

С другой стороны есть Gitlab. Он крут прямо из коробки, ибо предоставляет весь необходимый функционал сразу. То есть вместе с гитлабом у вас также будет установлен сервер хранения артефактов, container registry, сбор метрик, мониторинг, пайплайны (только подними раннеры, а сам сервер уже подготовлен), и всё это заинтегрировано друг с другом и готово к работе вот прямо сразу после установки. За это вы расплатитесь повышенным потреблением ресурсов, что вероятно не так уж хорошо для маленьких проектов. Но честно говоря, когда я смотрел в последний раз, в том же яндексе виртуалка с минимальной конфигурацией для гитлаба стоила что-то около трёх тысяч в месяц, так что это насколько ж бизнес должен быть мелким, чтобы не потянуть 3 косаря.

В общем, я при прочих равных выбираю Gitlab именно потому, что он не конструктор, а сразу решает задачи бизнеса.

4.27, лютый ж.... (?), 21:41, 31/08/2022 [^] [^^] [^^^] [ответить]	+/–
>в том же яндексе виртуалка с минимальной конфигурацией >насколько ж бизнес должен быть мелким насколько мозг должен быть мелким, чтобы использовать виртуалки шындекса? в том же селектеле за 5 тыр в месяц получаешь i7-3.4ГГц/32GB/2×240GBSSD а за 6 тыр i7-3.4ГГц/64ГБ/2×480ГБSSD

5.35, freehck (ok), 13:36, 01/09/2022 [^] [^^] [^^^] [ответить]	+/–
>>в том же яндексе виртуалка с минимальной конфигурацией >>насколько ж бизнес должен быть мелким > насколько мозг должен быть мелким, чтобы использовать виртуалки шындекса? Дорогой. Прежде, чем рассуждать об интеллектуальных качествах собеседника, подумай о следующем: вот пришёл к тебе клиент, у которого уже есть инфраструктура, купленная у конкретного вендора, и она его устраивает; ты будешь ему вендора менять только потому, что текущий -- неправославный? Или всё-таки выполнишь только ту работу, на которую подрядился?

5.38, Аноним (-), 17:23, 01/09/2022 [^] [^^] [^^^] [ответить]	–1 +/–
> насколько мозг должен быть мелким, чтобы использовать виртуалки шындекса? Это freehck, он давно себя гением мысли зарекомендовал. На аву посмотри, лол.

1.10, YetAnotherOnanym (ok), 09:41, 31/08/2022 [ответить] [﹢﹢﹢] [ · · · ]	+2 +/–
Но как же так? Ведь Руби - безопасный язык, в нём нет работы с памятью напрямую!

2.11, Аноним (-), 09:54, 31/08/2022 [^] [^^] [^^^] [ответить]	+3 +/–
но это ничего не гарантирует ☝️

3.17, Аноним (17), 12:12, 31/08/2022 [^] [^^] [^^^] [ответить]	–1 +/–
Что же это тогда получается, раст тоже небезопасны язык?

4.20, Аноним (20), 13:15, 31/08/2022 [^] [^^] [^^^] [ответить]	+1 +/–
никогда им не был

2.18, Аноним (17), 12:12, 31/08/2022 [^] [^^] [^^^] [ответить]	+/–
Программисты на Руби уже давно редкий вид, который редко встречается в природе. Баги фиксить некому.

1.21, лютый ж.... (?), 13:53, 31/08/2022 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Какая-то хэрня... у любого девелопера всё равно есть права в .gitlab-ci.yml прописать любую команду и runner её выполнит )

2.32, Ананоним (?), 01:56, 01/09/2022 [^] [^^] [^^^] [ответить]	+/–
Тссссссс! Не пали фичу!

2.37, Аноним (-), 17:20, 01/09/2022 [^] [^^] [^^^] [ответить]	+/–
> Какая-то хэрня... у любого девелопера всё равно есть права в .gitlab-ci.yml прописать > любую команду и runner её выполнит ) На третий день Зоркий Глаз заметил что вебмакаки не умеют в безопасность систем.

2.39, VitalyE (?), 00:51, 04/09/2022 [^] [^^] [^^^] [ответить]	+/–
а если я вынесу в отдельную репу .gitlab-ci.yml и не дам права - сможешь прописать что-то на выполнение?)

игнорирование участников | лог модерирования

Добавить комментарий

Текст: