Уязвимость в Ruby-SAML, позволяющая обойти аутентификацию в GitLab

Опубликованы корректирующие обновления платформы для организации совместной разработки GitLab - 17.3.3, 17.2.6 и 17.1.8, в которых устранена критическая уязвимость, позволяющая обойти аутентификацию на базе SAML (Security Assertion Markup Language). Проблема вызвана уязвимостью (CVE-2024-45409) в Ruby-библиотеках ruby-saml и omniauth-saml, реализующих клиентскую часть SAML-авторизации. Уязвимости присвоен максимальный уровень опасности 10 из 10. Проблема устранена в обновлениях пакетов ruby-saml (1.17.0 и 1.12.3) и omniauth-saml (2.2.0). https://www.opennet.ru/opennews/art.shtml?num=61893

September 20, 2024 · ihadtoinstalllinux

17 уязвимостей в GitLab

Опубликованы корректирующие обновления платформы для организации совместной разработки GitLab - 17.3.2, 17.2.5 и 17.1.7, в которых устранено 17 уязвимостей. Одной уязвимости присвоен критический уровень опасности (9.9 из 10), 3 - высокий, 11 - умеренный и 2 - низкий. Критическая уязвимость (CVE-2024-6678) позволяет запустить работы в конвейере непрерывной интеграции (pipeline jobs) под другим пользователем, что даёт возможность атакующему получить доступ к внутренним репозиториям и закрытым проектам этого пользователя. https://www.opennet.ru/opennews/art.shtml?num=61851

September 12, 2024 · ihadtoinstalllinux

GitLab рассматривает возможность продажи бизнеса

По данным издания Reuters, компания GitLab, развивающая одноимённую платформу совместной разработки, рассматривает возможность продажи бизнеса, в связи с поступлением подобных предложений. Детали возможной сделки не разглашаются, но в качестве одного из потенциальных покупателей отмечается компания Datadog, предоставляющая сервис мониторинга облачных систем. Предполагается, что если стороны придут к соглашению, то сделка может состояться через несколько недель. Рыночная стоимость GitLab оценивается примерно в 8 миллиардов долларов. Платформа имеет более 30 миллионов зарегистрированных пользователей....

July 18, 2024 · ihadtoinstalllinux

Критическая уязвимость в GitLab

Опубликованы корректирующие обновления платформы для организации совместной разработки - GitLab 17.1.2, 17.0.4 и 16.11.6, в которых устранены 6 уязвимостей. Одной из проблем (CVE-2024-6385) присвоен критический уровень опасности. Как и уязвимость, устранённая в прошлом месяце, новая проблема позволяет запустить работы в конвейере непрерывной интеграции (pipeline jobs) под произвольным пользователем. https://www.opennet.ru/opennews/art.shtml?num=61525

July 11, 2024 · ihadtoinstalllinux

Уязвимость в GitLab, позволяющая запустить pipeline-работы под другим пользователем

Опубликованы корректирующие обновления платформы для организации совместной разработки - GitLab 17.1.1, 17.0.3, 16.11.5, 16.10.8, 16.9.9, 16.8.8, 16.7.8 и 16.6.8, в которых устранены 14 уязвимостей. Одной из проблем (СVE-2024-5655), которая проявляется начиная с выпуска GitLab 15.8, присвоен критический уровень опасности. Уязвимость позволяет запустить работы в конвейере непрерывной интеграции (pipeline jobs) под произвольным пользователем. Выполнение своей работы в контексте другого пользователя позволяет атакующему получить доступ к внутренним репозиториям и закрытым проектам этого пользователя....

June 27, 2024 · ihadtoinstalllinux