GitLab объявил о выпуске обновлений безопасности

GitLab выпустил важные обновления безопасности для своих версий Community Edition (CE) и Enterprise Edition (EE), направленные на исправление нескольких уязвимостей, в том числе критической уязвимости межсайтового скриптинга (XSS).

Самая важная уязвимость — это сохранённая уязвимость XSS, которая возникает из-за неправильного отображения некоторых типов файлов (CVE-2025-0314). Эта проблема затрагивает все версии с 17.2 по 17.6.4, с 17.7 по 17.7.3 и с 17.8 по 17.8.1. Оценка по CVSS: 8.7. Уязвимость позволяет злоумышленникам внедрять вредоносные скрипты в экземпляры GitLab, что может привести к краже сессий, краже данных или несанкционированному управлению системой.

Проблема связана с неправильным отображением некоторых типов файлов через инструмент Asciidoctor, что даёт возможность злоумышленникам вставлять вредоносный JavaScript код. Этот код выполняется в браузере пользователя, что может привести к нарушению сессий пользователя или раскрытию конфиденциальной информации.

Кража переменных CI/CD через CI Lint (CVE-2024-11931)
Эта уязвимость средней опасности (CVSS: 6.4) позволяла разработчикам красть переменные CI/CD через функцию CI Lint при определённых условиях. Она затрагивает все версии с 17.0 до последних обновлений, в которых была исправлена эта проблема. Уязвимость была обнаружена сотрудником GitLab Грегом Майерсом.

Уязвимость Denial-of-Service (DoS) (CVE-2024-6324)
Уязвимость DoS средней опасности (CVSS: 4.3) затрагивает все версии с 15.7 до последних исправленных версий. Злоумышленники могут создавать циклические ссылки между эпиками, исчерпывая ресурсы системы и вызывая её отказ в обслуживании.

GitLab настоятельно рекомендует всем пользователям обновиться до версий 17.8.1, 17.7.3 или 17.6.4 для устранения этих уязвимостей.

Рекомендации по снижению рисков:

• Регулярно обновляйте вашу инстанцию GitLab.
• Периодически проверяйте логи для мониторинга подозрительной активности.
• Обучайте пользователей распознавать фишинговые атаки и своевременно устанавливать обновления.
• Проводите регулярные аудиты безопасности.

Эти обновления безопасности от GitLab имеют важное значение для защиты пользователей от атак и обеспечения стабильности системы. Чтобы минимизировать риски безопасности и защитить систему, обновления следует установить как можно скорее.