GitLab: bug consente di eseguire pipeline come qualsiasi utente

Una vulnerabilità critica sta interessando alcune versioni dei prodotti GitLab Community ed Enterprise Edition, che potrebbero essere sfruttate per eseguire pipeline come qualsiasi utente. GitLab è una popolare piattaforma di gestione dei progetti software open source basata sul web e di monitoraggio del lavoro. Ha circa un milione di utenti di licenza attivi. Il problema di sicurezza risolto nell'ultimo aggiornamento viene tracciato come CVE-2024-5655 e ha un punteggio di gravità di 9,6 su 10. In determinate circostanze, non definite dal fornitore, un utente malintenzionato potrebbe sfruttarlo per attivare una pipeline come un altro utente. Le pipeline GitLab sono funzionalità del sistema di integrazione continua/distribuzione continua (CI/CD) che consentono agli utenti di eseguire automaticamente processi e attività, in parallelo o in sequenza, per creare, testare o distribuire modifiche al codice.

La vulnerabilità colpisce tutte le versioni di GitLab CE/EE dalla 15.8 alla 16.11.4, dalla 17.0.0 alla 17.0.2 e dalla 17.1.0 alla 17.1.0. Come riportato sul sito ufficiale: ““Raccomandiamo vivamente che tutte le installazioni che eseguono una versione interessata dai problemi descritti di seguito vengano aggiornate alla versione più recente il prima possibile”.

GitLab: le due modifiche importanti introdotte con l’aggiornamento

GitLab ha risolto la vulnerabilità rilasciando le versioni 17.1.1, 17.0.3 e 16.11.5 e consiglia agli utenti di applicare gli aggiornamenti il ​​prima possibile. Il fornitore ricorda inoltre che l'aggiornamento alle versioni più recenti comporta due modifiche importanti di cui gli utenti dovrebbero essere a conoscenza. La prima riguarda le pipeline, che non verranno più eseguite automaticamente quando una richiesta di unione viene riorientata dopo l'unione del ramo di destinazione precedente. Gli utenti devono avviare manualmente la pipeline per eseguire l'elemento CI per le modifiche apportate. La seconda riguarda invece CI_JOB_TOKEN, che è ora disabilitato per impostazione predefinita per l'autenticazione GraphQL a partire dalla versione 17.0.0, con questa modifica trasferita alle versioni 17.0.3 e 16.11.5. Per accedere all'API GraphQL, gli utenti devono configurare uno dei tipi di token supportati per l'autenticazione.

Infine, l’aggiornamento GitLab introduce anche correzioni di sicurezza per altri 13 problemi. Tre di questi CVE-2024-4901, CVE-2024-4994 e CVE-2024-6323 sono stati segnalati con gravità alta. Per saperne di più sulle risorse per gli aggiornamenti della piattaforma, è possibile consultare il sito ufficiale di GitLab.