GitLab объявил о важном обновлении безопасности для устранения угроз XSS, DoS и захвата аккаунтов
Компания GitLab выпустила новое обновление безопасности, устраняющее опасные уязвимости в своей платформе. Эти обновления предотвращают такие серьёзные угрозы, как захват пользовательских аккаунтов, атаки типа «отказ в обслуживании» (DoS) и внедрение вредоносного кода на веб-страницы (XSS).
Какие уязвимости были устранены?
🔴 Уязвимости XSS (межсайтовый скриптинг)
- CVE-2025-1763 и CVE-2025-2443: Эти уязвимости позволяли злоумышленникам внедрять вредоносный код на веб-страницы, что могло привести к краже конфиденциальных данных через браузер пользователя.
🔴 Уязвимость в заголовках NEL (CVE-2025-1908)
- Эта уязвимость позволяла злоумышленникам отслеживать действия браузера пользователя, что потенциально могло привести к полному захвату аккаунта.
🔴 Атака типа DoS (отказ в обслуживании) (CVE-2025-0639)
- Этот дефект позволял временно нарушить работу системы или полностью вывести её из строя.
🔴 Проблема контроля доступа (CVE-2024-12244)
- Даже при закрытом репозитории пользователи могли видеть названия веток (branches), что нарушало конфиденциальность.
🛠 В версиях GitLab 17.11.1, 17.10.5 и 17.9.7 были решены следующие проблемы:
- Улучшены настройки конвейеров CI/CD.
- Исправлены сбои в интеграции с Amazon Q.
- Усилена безопасность загрузки файлов, пользовательского интерфейса и сессий.
- Обновлены серверные компоненты (Gitaly, Workhorse, Go gRPC).
✅ Если у вас установлен GitLab, выполните следующие действия:
- Немедленно установите новые версии (17.11.1, 17.10.5 или 17.9.7).
- Регулярно проводите аудит системы.
- Отслеживайте пользовательские сессии и попытки входа.
- По возможности включите режим автоматического обновления.
В современном мире кибербезопасность стала приоритетной задачей не только для IT-специалистов, но и для руководства каждой организации. Обновление GitLab — это один из важных шагов на пути к серьёзному отношению к угрозам и их предотвращению.
Защитите свою систему — обновляйтесь и следите за безопасностью!
