Kritická zraniteľnosť v GitLabe môže ohroziť vývojárov aplikácií

Kritická zraniteľnosť v GitLabe môže ohroziť vývojárov aplikácií

Platforma GitLab upozorňuje na novoobjavenú kritickú zraniteľnosť, vďaka ktorej môže vzdialený útočník spustiť škodlivý kód. Vývojári a správcovia aplikácií by mali svoje systémy ihneď aktualizovať.

Akýkoľvek overený užívateľ dokáže vďaka bezpečnostnej medzere na serveri GitLabu spustiť škodlivý kód aj bez dostatočných prístupových právomocí. Zraniteľnosť zatiaľ nedostala svoje CVE, ale dosahuje porovanteľné skóre zraniteľnosti 9.9 z 10.

Potenciálny škodlivý kód môže užívateľom spôsobiť prakticky čokoľvek – od útoku na zamietnutie prístupu až po krádež či zmenu dát.

Vzhľadom na to, že systém GitLab sa používa na podporu správy, vývoja a nasadzovania aplikácií do praxe (tzv. DevOps), ohrozené sú všetky spravované aplikácie. Ich repozitáre môžu obsahovať napríklad aj prístupové údaje či iné citlivé dáta.

Programátori zareagovali na vzniknutú situáciu promptne a vydali tri opravné verzie – 13.9.4, 13.8.6, a 13.7.9. Zatiaľ nie je známe, či niekto medzeru zneužil, vyšetrovanie by ale do pár dní malo odhaliť viac.

GitLab, no aj slovenský SK-CERT či český národný kyberúrad, apelujú na používateľov, aby svoje systémy urýchlene aktualizovali a zabezpečili tak zdrojové kódy svojich aplikácií.


Michael Andruch