Kriittisiä haavoittuvuuksia GitLabin Community Edition ja Enterprise Edition -tuotteissa

GitLab on julkaissut päivityksen Community Edition (CE) ja Enterprise Edition (EE) -tuotteiden kriittiseen haavoittuvuuteen. Korjaava versiopäivitys kannattaa asentaa mahdollisimman pikaisesti.

GitLab on julkaisi 12.1.2024 tiedon haavoittuvuudesta (CVE-2023-70285, CVSS 10), jonka avulla hyökkääjä voi saada käyttäjätilin salasanan palautussähköpostin vahvistamattomaan sähköpostiosoitteeseen.

Nyt (25.1.2024) GitLab:n julkaiseman haavoittuvuuden (CVE-2024-0402 CVSS 9.9) avulla kirjaantuneen käyttäjän on mahdollista kirjoittaa tiedostoja mielivaltaisiin paikkoihin GitLab-palvelimella työtilan luomisen yhteydessä. Tätä haavoittuvuutta on mahdollista hyödyntää myös haittaohjelmien levittämiseen.

Näiden haavoittuvuuksien ketjuttaminen mahdollistaa hyökkääjälle pääsyn ympäristöön ilman käyttäjätunnuksia, sekä erilaisten haittaohjelmien asentamisen kohdepalvelimelle.

Haavoittuvat ja päivitetyt versiot

12.1.2024 julkaistun CVE-2023-70285 haavoittuvuuden haavoittuvat versiot ovat:
16.1 ennen versiota 16.1.5
16.2 ennen versiota 16.2.8
16.3 ennen versiota 16.3.6
16.4 ennen versiota 16.4.4
16.5 ennen versiota 16.5.6
16.6 ennen versiota 16.6.4
16.7 ennen versiota 16.7.2

CVE-2023-70285 haavoittuvuus on jo GitLab-versioissa 16.1.6, 16.2.9, 16.3.7 ja 16.4.5 sekä 16.5.6, 16.6.4 ja 16.7.2.
Lisätietoja GitLabin tiedotteessa.

25.1 2024 haavoittuvuuden CVE-2024-0204 haavoittuvat tuoteversiot ovat 16.5.8, 16.6.6, 16.7.4 ja 16.8.1.

Korjaus CVE-2024-0402 haavoittuvuuteen on jo versioissa: 16.5.8, 16.6.6, 16.7.4 ja 16.8.1. GitLab versio 16.5.8 sisältää vain korjauksen tähän haavoittuvuuteen. Lisätietoja GitLabin tiedotteessa.

Haavoituvuuksien korjaavat päivitykset on saatavilla.
Suosittelemme päivittämään sovelluksen tuoreempaan versioon mahdollisimman pian.

Haavoittuvuus koskee organisaatioita, jotka käyttävät kyseistä tuotetta.

Haavoittuvuuden kohde

CVE-2023-70285 haavoittuvuus on jo GitLab-versioissa 16.1.6, 16.2.9, 16.3.7 ja 16.4.5 sekä 16.5.6, 16.6.4 ja 16.7.2.

25.1 2024 haavoittuvuuden CVE-2024-0402 haavoittuvat tuoteversiot ovat 16.5.8, 16.6.6, 16.7.4 ja 16.8.1.

Korjaus CVE-2024-0402 haavoittuvuuteen on jo versioissa: 16.5.8, 16.6.6, 16.7.4 ja 16.8.1. GitLab versio 16.5.8 sisältää vain korjauksen tähän haavoittuvuuteen.

Mistä on kysymys?

CVE-2023-7028:
Päivitys versioon 16.7.3, 16.6.5, 16.5.7 tai uudempaan

CVE-2024-0402:
Päivitys versioon 16.5.8, 16.6.6 ja 16.7.4.
Versiolle 16.8.1 on korjaus tähän haavoittuvuuteen saatavilla.

Mitä voin tehdä?

NVD NIST CVE-2023-7028

GitLab Critical Security Release: 16.7.2, 16.6.4, 16.5.6

NVD NIST CVE-2024-0402

GitLab Critical Security Release: 16.8.1, 16.7.4, 16.6.6, 16.5.8

Palvelimet ja palvelinsovellukset

Palvelinten ja palvelinohjelmistojen haavoittuvuudet koskevat esimerkiksi sähköisten asiointipalvelujen tarjoajia. Tyypillisiä kohteita ovat palvelinten käyttöjärjestelmät ja www- tai sähköpostipalvelinohjelmistot kuten esimerkiksi SunOS, Linux, Apache, IIS tai Sendmail.

Etäkäyttö

Etäkäyttöisesti tehtävän hyökkäyksen voi tehdä tietoverkkoyhteyden tai vastaavan kautta ilman että pääsee itse kohteena olevan järjestelmän luokse.

Ilman käyttäjän toimia

Ilman käyttäjän toimia tapahtuva hyökkäys kohdistuu suoraan haavoittuvuuteen ilman että järjestelmän käyttäjältä vaaditaan mitään toimia hyökkäyksen onnistumiseksi. Käyttäjän ei esimerkiksi tarvitse selailla www-sivuja tai käynnistää ohjelmaa tietokoneessa, vaan hyökkäys onnistuu ilman käyttäjän apua.

Ilman kirjautumista

Hyökkäys ei vaadi kohteena olevaan järjestelmään kirjautumista. Vastakohtana ovat sellaiset hyökkäykset, jotka vaativat käyttäjätunnuksen ja salasanan käyttöä ja esimerkiksi komentojen suorittamista järjestelmään kirjautuneena.

Komentojen mielivaltainen suorittaminen

Komentojen mielivaltaisen suorittamisen mahdollistavaa haavoittuvuutta on pidettävä vakavana, sillä se tarkoittaa sitä, että hyväksikäyttäjä voi käyttää kohteena olevaa järjestelmää aivan kuin sen tavallinen käyttäjäkin. Se voi johtaa myös siihen, että järjestelmään murtautunut hyökkääjä voi ladata verkon kautta järjestelmään omia ohjelmiaan suoritettavaksi.

Suojauksen ohittaminen

Suojauksen ohittamisella tarkoitetaan sitä, että haavoittuvuutta hyväksikäyttämällä ohitetaan järjestelmän käytön rajoittamiseksi tehty suojaus esimerkiksi liikennöimällä palomuurin ohi suojattuun verkkoon.

Tietojen muokkaaminen

Järjestelmään talletettujen tietojen muokkaaminen ei välttämättä edellytä komentojen suorittamista, käyttövaltuuksien laajentamista tai järjestelmään kirjautumista. Esimerkiksi käyttämällä hyväksi www-palvelinohjelmiston haavoittuvuutta voi hyökkääjä luvatta muuttaa palvelimella näkyvien verkkosivujen sisältöä.

Luottamuksellisen tiedon hankkiminen

Luottamuksellisten tietojen hankkiminen kohdejärjestelmästä edellyttää sitä, että sen tietosisältöä, esimerkiksi kiintolevylle talletettuja tiedostoja, pääsee lukemaan luvatta ja välittämään edelleen.

Haavoittuvuuden havainnollistava esimerkkikoodi

Proof of concept.

Korjaava ohjelmistopäivitys

Ohjelmisto- tai laitevalmistaja julkaisee tavallisesti pian uuden version tai osittaisen päivityksen ohjelmistoon tai käyttöjärjestelmään sen jälkeen kun haavoittuvuus on tullut julki. Päivitys voi olla saatavilla samalla kun haavoittuvuuskin julkaistaan, mutta usein sitä joudutaan odottelemaan jonkin aikaa.