Kriittinen haavoittuvuus GitLabin Community Edition ja Enterprise Edition tuotteissa | Traficom
Siirry pääsisältöön
Kyberturvallisuuskeskus
Ilmoita tietoturvaloukkauksesta
Ilmoita tietoturvaloukkauksesta
Ilmoita tietoturvaloukkauksesta

Kriittinen haavoittuvuus GitLabin Community Edition ja Enterprise Edition tuotteissa

25. toukokuuta 2023 klo 14.33

GitLab on julkaissut päivityksen Community Edition (CE) ja Enterprise Edition (EE) tuotteissa olevaan kriittiseen haavoittuvuuteen. Korjaava versiopäivitys kannattaa asentaa mahdollisimman pian.

Tiedostopolun käsittelyyn liittyvällä haavoittuvuudella hyökkääjä pystyy lukemaan haavoittuvasta järjestelmästä haluamiaan tiedostoja. Haavoittuvuus koskee ainoastaan tuotteiden 16.0.0 versiota, eikä siis koske aiempia versioita. Haavoittuvuuden hyväksikäyttö vaatii myös, että GitLab järjestelmässä on tietyllä tavalla konfiguroitu julkinen projekti.

Haavoittuvuuden kohde

GitLab Community Edition (CE) ja Enterprise Edition (EE) tuotteiden versio 16.0.0. 

Mistä on kysymys?

Päivitä GitLab versioon 16.0.1.

Palvelimet ja palvelinsovellukset

Palvelinten ja palvelinohjelmistojen haavoittuvuudet koskevat esimerkiksi sähköisten asiointipalvelujen tarjoajia. Tyypillisiä kohteita ovat palvelinten käyttöjärjestelmät ja www- tai sähköpostipalvelinohjelmistot kuten esimerkiksi SunOS, Linux, Apache, IIS tai Sendmail.

Etäkäyttö

Etäkäyttöisesti tehtävän hyökkäyksen voi tehdä tietoverkkoyhteyden tai vastaavan kautta ilman että pääsee itse kohteena olevan järjestelmän luokse.

Ilman käyttäjän toimia

Ilman käyttäjän toimia tapahtuva hyökkäys kohdistuu suoraan haavoittuvuuteen ilman että järjestelmän käyttäjältä vaaditaan mitään toimia hyökkäyksen onnistumiseksi. Käyttäjän ei esimerkiksi tarvitse selailla www-sivuja tai käynnistää ohjelmaa tietokoneessa, vaan hyökkäys onnistuu ilman käyttäjän apua.

Ilman kirjautumista

Hyökkäys ei vaadi kohteena olevaan järjestelmään kirjautumista. Vastakohtana ovat sellaiset hyökkäykset, jotka vaativat käyttäjätunnuksen ja salasanan käyttöä ja esimerkiksi komentojen suorittamista järjestelmään kirjautuneena.

Luottamuksellisen tiedon hankkiminen

Luottamuksellisten tietojen hankkiminen kohdejärjestelmästä edellyttää sitä, että sen tietosisältöä, esimerkiksi kiintolevylle talletettuja tiedostoja, pääsee lukemaan luvatta ja välittämään edelleen.

Haavoittuvuuden havainnollistava esimerkkikoodi

Proof of concept.

Korjaava ohjelmistopäivitys

Ohjelmisto- tai laitevalmistaja julkaisee tavallisesti pian uuden version tai osittaisen päivityksen ohjelmistoon tai käyttöjärjestelmään sen jälkeen kun haavoittuvuus on tullut julki. Päivitys voi olla saatavilla samalla kun haavoittuvuuskin julkaistaan, mutta usein sitä joudutaan odottelemaan jonkin aikaa.