Warning - Kritische GitLab-Schwachstelle kann Angreifern den Diebstahl von Runner-Registrierungs-Tokens ermöglichen
Reference:
Advisory #2022-003
Version:
1.0
Affected software:
Gitlab Community Edition
Gitlab Enterprise Edition
Type:
Information Disclosure
CVE/CVSS:
|
CVE-2022-0735 |
Datum:
03/03/2022
Sources
Gitlab: https://about.gitlab.com/releases/2022/02/25/critical-security-release-gitlab-14-8-2-released/
Risks
Ungepatchte Versionen von Gitlab CE/EE sind anfällig für die Offenlegung von Informationen durch die Verwendung von Quick-Actions-Befehlen, die es einem unbefugten Benutzer ermöglichen, Token für die Registrierung von Runner zu stehlen.
Description
In GitLab CE/EE wurde ein Problem entdeckt, das alle Versionen vor 14.8.2, 14.7.4 und 14.6.5 betrifft.
Durch die Offenlegung von Informationen kann ein unbefugter Benutzer mit Hilfe von Quick-Actions-Befehlen Token für die Registrierung von Runner stehlen.
Diese Schwachstelle wurde Gitlab durch das HackerOne Bug Bounty Programm bekannt gegeben.
Gitlab hat die Versionen 14.8.2, 14.7.4 und 14.6.5 sowohl für die Community Edition als auch für die Enterprise Edition veröffentlicht, die gleichzeitig als monatliches Sicherheitsrelease für den Monat Februar gilt.
Recommended Actions
Gitlab empfiehlt dringend, dass alle GitLab-Installationen sofort auf eine dieser Versionen aktualisiert werden.