GitLab telah merilis pembaruan keamanan darurat, versi 16.0.1, untuk mengatasi tingkat keparahan maksimum (skor CVSS v3.1: 10.0) cacat traversal jalur yang dilacak sebagai CVE-2023-2825.
GitLab adalah repositori Git berbasis web untuk tim pengembang yang perlu mengelola kode mereka dari jarak jauh dan memiliki sekitar 30 juta pengguna terdaftar dan satu juta pelanggan berbayar.
Kerentanan yang dibahas dalam pembaruan terbaru ditemukan oleh seorang peneliti keamanan bernama ‘pwnie,’ yang melaporkan masalah ini pada program bounty bug HackOne proyek.
Ini berdampak pada GitLab Community Edition (CE) dan Enterprise Edition (EE) versi 16.0.0, tetapi semua versi yang lebih lama dari ini tidak terpengaruh.
Cacat muncul dari masalah traversal jalur yang memungkinkan penyerang yang tidak diautentikasi untuk membaca file arbitrer di server saat lampiran ada di proyek publik yang bersarang dalam setidaknya lima grup.
Eksploitasi CVE-2023-2825 dapat mengekspos data sensitif, termasuk kode perangkat lunak berpemilik, kredensial pengguna, token, file, dan informasi pribadi lainnya.
Prasyarat ini menunjukkan bahwa masalah terkait dengan cara GitLab mengelola atau menyelesaikan jalur untuk file terlampir yang bersarang dalam beberapa tingkat hierarki grup. Namun, karena kekritisan masalah dan kesegaran penemuannya, kali ini tidak banyak detail yang diungkapkan oleh vendor.
Sebaliknya, GitLab menyoroti pentingnya menerapkan pembaruan keamanan terbaru tanpa penundaan.
“Kami sangat menyarankan agar semua penginstalan yang menjalankan versi yang terpengaruh oleh masalah yang dijelaskan di bawah ini dimutakhirkan ke versi terbaru sesegera mungkin,” baca Buletin keamanan GitLab.
“Bila tidak ada jenis penerapan tertentu (omnibus, kode sumber, diagram helm, dll.) dari suatu produk yang disebutkan, ini berarti semua jenis akan terpengaruh.”
Faktor yang meringankan adalah bahwa kerentanan hanya dapat dipicu dalam kondisi tertentu, yaitu ketika ada lampiran dalam proyek publik yang bersarang di dalam setidaknya lima grup, yang bukan merupakan struktur yang diikuti di semua proyek GitHub.
Namun demikian, semua pengguna GitLab 16.0.0 disarankan untuk memperbarui ke versi 16.0.1 sesegera mungkin untuk mengurangi risiko. Sayangnya, tidak ada solusi yang tersedia saat ini.
Untuk memperbarui instalasi GitLab Anda, ikuti petunjuk di proyek halaman pembaruan. Untuk pembaruan Pelari GitLab, lihat panduan ini.
