DARKReading 網(wǎng)站消息，一個(gè)嚴(yán)重的 GitLab 漏洞可能允許攻擊者以另一個(gè)用戶的身份運(yùn)行管道，該公司正敦促運(yùn)行易受攻擊版本的用戶立即修補(bǔ)該漏洞，以避免 CI/CD 失常。

GitLab 是僅次于 GitHub 的流行 Git 存儲(chǔ)庫(kù)，擁有數(shù)百萬(wàn)活躍用戶。上周，它發(fā)布了社區(qū)版（開(kāi)源）和企業(yè)版的新版本。

更新包括對(duì) 14 個(gè)不同安全問(wèn)題的修復(fù)，包括跨站請(qǐng)求偽造（CSRF）、跨站腳本（XSS）、拒絕服務(wù)（DoS）等。根據(jù)通用漏洞評(píng)分系統(tǒng) (CVSS)，其中一個(gè)問(wèn)題的嚴(yán)重程度較低，九個(gè)問(wèn)題的嚴(yán)重程度中等，三個(gè)問(wèn)題的嚴(yán)重程度較高，但有一個(gè)關(guān)鍵漏洞的 CVSS 得分為 9.6（滿分 10 分）。

CVE-2024-5655 對(duì)代碼開(kāi)發(fā)構(gòu)成嚴(yán)重威脅

據(jù)該公司稱，CVE-2024-5655 這個(gè)關(guān)鍵漏洞影響的 GitLab 版本從 15.8 到 16.11.5，從 17.0 到 17.0.3，以及從 17.1 到 17.1.1。該漏洞允許攻擊者以另一個(gè)用戶的身份觸發(fā)管道，但僅限于 GitLab 沒(méi)有詳細(xì)說(shuō)明的情況（GitLab 也沒(méi)有提供有關(guān)該漏洞的任何其他信息）。

在 GitLab 中，管道可以自動(dòng)完成構(gòu)建、測(cè)試和部署代碼的過(guò)程。從理論上講，攻擊者如果有能力以其他用戶的身份運(yùn)行管道，就可以訪問(wèn)他們的私有存儲(chǔ)庫(kù)，并操作、竊取或外泄其中包含的敏感代碼和數(shù)據(jù)。

與 CVE-2023-7028 不同，GitLab 到目前為止還沒(méi)有發(fā)現(xiàn) CVE-2024-5655 漏洞在野外被利用的證據(jù)，而 CVE-2023-7028 在今年春天早些時(shí)候已經(jīng)被利用。不過(guò)，這種情況可能很快就會(huì)改變。

合規(guī)問(wèn)題，不僅僅是安全問(wèn)題

像 CVE-2024-5655 這樣根植于開(kāi)發(fā)過(guò)程中的問(wèn)題，有時(shí)會(huì)帶來(lái)的困擾遠(yuǎn)不止于它們?cè)谖臋n上所呈現(xiàn)的簡(jiǎn)單風(fēng)險(xiǎn)。

Synopsys Software Integrity Group 首席副顧問(wèn) Jamie Boote 說(shuō)："在最壞的情況下，這個(gè)漏洞甚至不需要被利用就會(huì)給公司造成收入損失。"一個(gè)軟件或軟件驅(qū)動(dòng)的產(chǎn)品是使用一個(gè)易受攻擊的 GitLab 版本構(gòu)建的，這一事實(shí)本身就可能引起關(guān)注。

像這樣的管道漏洞不僅會(huì)帶來(lái)安全風(fēng)險(xiǎn)，還會(huì)帶來(lái)監(jiān)管和合規(guī)風(fēng)險(xiǎn)。Jamie Boote 解釋說(shuō)："由于美國(guó)公司正在努力滿足向美國(guó)政府銷售軟件和產(chǎn)品所需的自檢表要求，如果不解決這個(gè)漏洞，可能會(huì)導(dǎo)致合規(guī)性漏洞，從而使銷售和合同面臨風(fēng)險(xiǎn)?！彼貏e提到了美國(guó)商務(wù)部《安全軟件開(kāi)發(fā)證明表說(shuō)明》第三部分的第 1c 行，其中要求 "在開(kāi)發(fā)和構(gòu)建軟件的相關(guān)環(huán)境中執(zhí)行多因素身份驗(yàn)證和有條件訪問(wèn)，以最大限度地降低安全風(fēng)險(xiǎn)"。

Jamie Boote 表示，不解決這一漏洞的公司將很難符合第 1c 項(xiàng)的要求，因?yàn)楣粽呖梢岳寐┒蠢@過(guò)公司為符合要求而依賴的條件訪問(wèn)控制。

參考來(lái)源：https://www.darkreading.com/application-security/critical-gitlab-bug-threatens-software-development-pipelines