Вышли обновления для GitLab, которые исправляют 14 уязвимостей, в том числе критическую

GitLab — веб-платформа для управления проектами и репозиториями программного кода, число активных пользователей лицензии которой приближается к миллиону. Недавно GitLab выпустила обновления для проблемы безопасности с идентификатором CVE-2024-5655 и оценкой 9,6 из 10. 

Уязвимость CVE-2024-5655 обнаружена в версиях GitLab CE/EE с 15.8 по 16.11.4, с 17.0.0 по 17.0.2 и с 17.1.0 по 17.1.0. Ошибка дает возможность злоумышленнику запустить конвейер от чужого имени. Но GitLab закрыл уязвимость в версиях 17.1.1, 17.0.3 и 16.11.5, и рекомендует скачать и установить обновления GitLab, а также ознакомиться с рекомендациями по GitLab Runner.

«Мы настоятельно рекомендуем как можно скорее обновить все инсталляции, на которых установлена ​​версия, затронутая описанными ниже проблемами, до последней версии» — предупредили в GitLab.

Конвейеры GitLab — это функция, благодаря которой пользователь может автоматически запустить процессы и задачи параллельно или последовательно для создания, тестирования или развертывания изменений кода. Сотрудники GitLab сообщают, что в новых версиях есть два критических изменения, которые в том числе затрагивают конвейеры:

1. В обновлении отключен автоматический запуск конвейеров, когда мерж-реквест перенаправляется после слияния его предыдущей целевой ветки. Чтобы выполнить CI, нужно вручную запустить конвейер.
2. CI_JOB_TOKEN теперь по умолчанию отключен для аутентификации GraphQL, начиная с версии 17.0.0. Также это изменение касается версий 17.0.3 и 16.11.5. Чтобы получить доступ к API GraphQL, пользователям необходимо настроить один из поддерживаемых типов токенов для аутентификации.