DARKReading 網(wǎng)站消息，一個(gè)嚴(yán)重的 GitLab 漏洞可能允許攻擊者以另一個(gè)用戶的身份運(yùn)行管道，該公司正敦促運(yùn)行易受攻擊版本的用戶立即修補(bǔ)該漏洞，以避免 CI/CD 失常。

GitLab 是僅次于 GitHub 的流行 Git 存儲庫，擁有數(shù)百萬活躍用戶。上周，它發(fā)布了社區(qū)版（開源）和企業(yè)版的新版本。

更新包括對 14 個(gè)不同安全問題的修復(fù)，包括跨站請求偽造（CSRF）、跨站腳本（XSS）、拒絕服務(wù)（DoS）等。根據(jù)通用漏洞評分系統(tǒng) (CVSS)，其中一個(gè)問題的嚴(yán)重程度較低，九個(gè)問題的嚴(yán)重程度中等，三個(gè)問題的嚴(yán)重程度較高，但有一個(gè)關(guān)鍵漏洞的 CVSS 得分為 9.6（滿分 10 分）。

CVE-2024-5655 對代碼開發(fā)構(gòu)成嚴(yán)重威脅

據(jù)該公司稱，CVE-2024-5655 這個(gè)關(guān)鍵漏洞影響的 GitLab 版本從 15.8 到 16.11.5，從 17.0 到 17.0.3，以及從 17.1 到 17.1.1。該漏洞允許攻擊者以另一個(gè)用戶的身份觸發(fā)管道，但僅限于 GitLab 沒有詳細(xì)說明的情況（GitLab 也沒有提供有關(guān)該漏洞的任何其他信息）。

在 GitLab 中，管道可以自動完成構(gòu)建、測試和部署代碼的過程。從理論上講，攻擊者如果有能力以其他用戶的身份運(yùn)行管道，就可以訪問他們的私有存儲庫，并操作、竊取或外泄其中包含的敏感代碼和數(shù)據(jù)。

與 CVE-2023-7028 不同，GitLab 到目前為止還沒有發(fā)現(xiàn) CVE-2024-5655 漏洞在野外被利用的證據(jù)，而 CVE-2023-7028 在今年春天早些時(shí)候已經(jīng)被利用。不過，這種情況可能很快就會改變。

合規(guī)問題，不僅僅是安全問題

像 CVE-2024-5655 這樣根植于開發(fā)過程中的問題，有時(shí)會帶來的困擾遠(yuǎn)不止于它們在文檔上所呈現(xiàn)的簡單風(fēng)險(xiǎn)。

Synopsys Software Integrity Group 首席副顧問 Jamie Boote 說："在最壞的情況下，這個(gè)漏洞甚至不需要被利用就會給公司造成收入損失。"一個(gè)軟件或軟件驅(qū)動的產(chǎn)品是使用一個(gè)易受攻擊的 GitLab 版本構(gòu)建的，這一事實(shí)本身就可能引起關(guān)注。

像這樣的管道漏洞不僅會帶來安全風(fēng)險(xiǎn)，還會帶來監(jiān)管和合規(guī)風(fēng)險(xiǎn)。Jamie Boote 解釋說："由于美國公司正在努力滿足向美國政府銷售軟件和產(chǎn)品所需的自檢表要求，如果不解決這個(gè)漏洞，可能會導(dǎo)致合規(guī)性漏洞，從而使銷售和合同面臨風(fēng)險(xiǎn)?！彼貏e提到了美國商務(wù)部《安全軟件開發(fā)證明表說明》第三部分的第 1c 行，其中要求 "在開發(fā)和構(gòu)建軟件的相關(guān)環(huán)境中執(zhí)行多因素身份驗(yàn)證和有條件訪問，以最大限度地降低安全風(fēng)險(xiǎn)"。

Jamie Boote 表示，不解決這一漏洞的公司將很難符合第 1c 項(xiàng)的要求，因?yàn)楣粽呖梢岳寐┒蠢@過公司為符合要求而依賴的條件訪問控制。

參考來源：https://www.darkreading.com/application-security/critical-gitlab-bug-threatens-software-development-pipelines