يقوم GitLab بتصحيح خلل فادح يسمح بوظائف خطوط الأنابيب غير المصرح بها

11 يوليو 2024غرفة الأخبارأمن البرمجيات / الضعف

قامت GitLab بشحن جولة أخرى من التحديثات لإغلاق العيوب الأمنية في منصة تطوير البرمجيات الخاصة بها، بما في ذلك خطأ فادح يسمح للمهاجم بتشغيل وظائف خطوط الأنابيب كمستخدم عشوائي.

تم تتبع الثغرة الأمنية باسم CVE-2024-6385، وتحمل درجة CVSS تبلغ 9.6 من 10.0 كحد أقصى.

“تم اكتشاف مشكلة في GitLab CE/EE تؤثر على الإصدارات 15.8 قبل 16.11.6، و17.0 قبل 17.0.4، و17.1 قبل 17.1.2، مما يسمح للمهاجم بتشغيل خط أنابيب كمستخدم آخر في ظل ظروف معينة،” الشركة قال في استشارة الاربعاء.

تجدر الإشارة إلى أن الشركة قامت بتصحيح خطأ مماثل في أواخر الشهر الماضي (CVE-2024-5655، درجة CVSS: 9.6) والذي يمكن أيضًا تسليحه لتشغيل خطوط الأنابيب كمستخدمين آخرين.

يعالج GitLab أيضًا مشكلة متوسطة الخطورة (CVE-2024-5257، درجة CVSS: 4.9) تسمح لمستخدم المطور الذي لديه أذونات admin_compliance_framework بتعديل عنوان URL لمساحة اسم المجموعة.

تم إصلاح جميع أوجه القصور الأمنية في الإصدارات 17.1.2 و17.0.4 و16.11.6 من GitLab Community Edition (CE) وEnterprise Edition (EE).

ويأتي الكشف باسم Citrix مطلق سراحه تحديثات لخلل مصادقة خطير وغير مناسب يؤثر على NetScaler Console (NetScaler ADM سابقًا)، وNetScaler SDX، وNetScaler Agent (CVE-2024-6235، درجة CVSS: 9.4) والتي قد تؤدي إلى الكشف عن المعلومات.

كما أصدرت شركة Broadcom أيضًا تصحيحات لثغرات أمنية متوسطة الخطورة في مدير سحابة VMware (CVE-2024-22277، درجة CVSS: 6.4) و أتمتة VMware Aria (CVE-2024-22280، درجة CVSS: 8.5) التي يمكن إساءة استخدامها لتنفيذ تعليمات برمجية ضارة باستخدام علامات HTML واستعلامات SQL المصممة خصيصًا، على التوالي.

تصدر CISA نشرات لمعالجة عيوب البرمجيات

وتأتي التطورات أيضًا في أعقاب نشرة جديدة أصدرتها وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) ومكتب التحقيقات الفيدرالي (FBI) تحث مصنعي التكنولوجيا على التخلص من عيوب حقن أوامر نظام التشغيل (OS) في البرامج التي تسمح لممثلي التهديد بالاتصال عن بعد تنفيذ التعليمات البرمجية على أجهزة حافة الشبكة.

تنشأ مثل هذه العيوب عندما لا يتم تحسين مدخلات المستخدم والتحقق من صحتها بشكل مناسب عند إنشاء أوامر ليتم تنفيذها على نظام التشغيل الأساسي، مما يسمح للخصم بتهريب أوامر عشوائية يمكن أن تؤدي إلى نشر البرامج الضارة أو سرقة المعلومات.

“لطالما كان من الممكن منع الثغرات الأمنية في حقن أوامر نظام التشغيل من خلال الفصل الواضح بين مدخلات المستخدم ومحتويات الأمر”، حسبما ذكرت الوكالات. قال. “على الرغم من هذه النتيجة، فإن الثغرات الأمنية في حقن أوامر نظام التشغيل – والتي ينتج الكثير منها عن سي دبليو إي-78 – لا تزال فئة من نقاط الضعف السائدة.”

وهذا التنبيه هو التحذير الثالث من نوعه الصادر عن CISA ومكتب التحقيقات الفيدرالي منذ بداية العام. سبق للوكالات أن أرسلت تنبيهين آخرين حول الحاجة إلى الإزالة حقن SQL (SQLi) و نقاط الضعف في اجتياز المسار في مارس ومايو 2024.

في الشهر الماضي، أصدرت CISA، جنبًا إلى جنب مع وكالات الأمن السيبراني من كندا ونيوزيلندا، إرشادات توصي الشركات بتبني حلول أمنية أكثر قوة – مثل الثقة صفر، حافة الخدمة الآمنة (SSE)، وحافة خدمة الوصول الآمن (SASE) – التي توفر رؤية أكبر لنشاط الشبكة.

“من خلال استخدام سياسات التحكم في الوصول القائمة على المخاطر لتقديم القرارات من خلال محركات اتخاذ القرار السياسي، تدمج هذه الحلول الأمان والتحكم في الوصول، مما يعزز قابلية استخدام المؤسسة وأمنها من خلال السياسات التكيفية،” الوكالات المؤلفة ذُكر.