DARKReading 网站消息,一个严重的 GitLab 漏洞可能允许攻击者以另一个用户的身份运行管道,该公司正敦促运行易受攻击版本的用户立即修补该漏洞,以避免 CI/CD 失常。
GitLab 是仅次于 GitHub 的流行 Git 存储库,拥有数百万活跃用户。上周,它发布了社区版(开源)和企业版的新版本。
更新包括对 14 个不同安全问题的修复,包括跨站请求伪造(CSRF)、跨站脚本(XSS)、拒绝服务(DoS)等。根据通用漏洞评分系统 (CVSS),其中一个问题的严重程度较低,九个问题的严重程度中等,三个问题的严重程度较高,但有一个关键漏洞的 CVSS 得分为 9.6(满分 10 分)。
CVE-2024-5655 对代码开发构成严重威胁
据该公司称,CVE-2024-5655 这个关键漏洞影响的 GitLab 版本从 15.8 到 16.11.5,从 17.0 到 17.0.3,以及从 17.1 到 17.1.1。该漏洞允许攻击者以另一个用户的身份触发管道,但仅限于 GitLab 没有详细说明的情况(GitLab 也没有提供有关该漏洞的任何其他信息)。
在 GitLab 中,管道可以自动完成构建、测试和部署代码的过程。从理论上讲,攻击者如果有能力以其他用户的身份运行管道,就可以访问他们的私有存储库,并操作、窃取或外泄其中包含的敏感代码和数据。
与 CVE-2023-7028 不同,GitLab 到目前为止还没有发现 CVE-2024-5655 漏洞在野外被利用的证据,而 CVE-2023-7028 在今年春天早些时候已经被利用。不过,这种情况可能很快就会改变。
合规问题,不仅仅是安全问题
像 CVE-2024-5655 这样根植于开发过程中的问题,有时会带来的困扰远不止于它们在文档上所呈现的简单风险。
Synopsys Software Integrity Group 首席副顾问 Jamie Boote 说:"在最坏的情况下,这个漏洞甚至不需要被利用就会给公司造成收入损失。"一个软件或软件驱动的产品是使用一个易受攻击的 GitLab 版本构建的,这一事实本身就可能引起关注。
像这样的管道漏洞不仅会带来安全风险,还会带来监管和合规风险。Jamie Boote 解释说:"由于美国公司正在努力满足向美国政府销售软件和产品所需的自检表要求,如果不解决这个漏洞,可能会导致合规性漏洞,从而使销售和合同面临风险。”他特别提到了美国商务部《安全软件开发证明表说明》第三部分的第 1c 行,其中要求 "在开发和构建软件的相关环境中执行多因素身份验证和有条件访问,以最大限度地降低安全风险"。
Jamie Boote 表示,不解决这一漏洞的公司将很难符合第 1c 项的要求,因为攻击者可以利用漏洞绕过公司为符合要求而依赖的条件访问控制。