GitLab-ը կրիտիկական խոցելիությունները շտկելու համար համապատասխան թարմացումներ է կատարել, որոնք հաքերներին pipeline գործարկելու հնարավորթյուն էին տալիս:
Կրիտիկական խոցելիությունը՝ CVE-2023-5009 (CVSS կատալոգում միավորը՝ 9.6), ազդում է GitLab Enterprise Edition-ի (EE) բոլոր տարբերակների վրա՝ սկսած 13.12-ից մինչև՝ 16.2.7, ինչպես նաև՝ 16.3-ից մինչև 16.3.4-ը:
Անվտանգության ոլորտի փորձագետ՝ Յոհան Կարլսոնին (aka joaxcar) վերագրվել է կրիտիկական խոցելիության հայտնաբերումն ու զեկուցումը:
Նոր հայտնաբերված խոցելիությունը վերականգնվել է՝ GitLab 16.3.4 և 16.2.7 տարբերակներում:
Ընթացքը տրվեց այն ժամանակ, երբ GitLab-ի երկու տարվա վաղեմության կրիտիկական սխալը (CVE-2021-22205, CVSS-ում միավորը՝ 10.0) շարունակեց ակտիվորեն շահագործվել տարբեր հաքերների կողմից:
Այս շաբաթվա սկզբին Trend Micro-ը բացահայտեց, որ Չինաստանի կառավարության հետ աշխատող հաքերը, ով հայտնի է Earth Lusca անվամբ, ագրեսիվորեն թիրախավորում է հանրային սպասարկող սերվերները` սպառազինելով N-day անվտանգության խոցելիությունները, ներառյալ՝ CVE-2021-22205-ը:
Օգտատերերին խորհուրդ է տրվում հնարավորինս շուտ թարմացնել իրենց GitLab-ի installation-երը վերջին տարբերակով՝ հնարավոր բոլոր ռիսկերից պաշտպանվելու համար:
Աղբյուրը՝ https://thehackernews.com/