Tag Archives: GitLab

Olulised turvanõrkused 2023. aasta 38. nädalal

Eelmisel nädalal kajastati, kuidas Apple paikas kolm nullpäeva turvanõrkust. Turvanõrkused mõjutavad mitmeid Apple’i tooteid, turvauuendused on tootja väljastanud. Lisaks Apple’ile avalikustasid turvapaigad veel mitmed ettevõtted, sh Fortinet, GitLab, Atlassian jpt. Kõik olulisemad uudised on lühidalt välja toodud järgnevas kokkuvõttes.

  • Apple paikas kolm uut nullpäeva turvanõrkust

Apple avalikustas turvauuendused, et parandada kolm uut nullpäeva turvaviga. Turvavigu on tootja sõnul rünnakutes juba ära kasutatud. Haavatavused lubavad ründajatel käivitada pahaloomulist koodi ohvri seadmes, kui ohver külastab selleks otstarbeks loodud veebilehte, samuti on võimalik ühe nullpäeva turvanõrkuse abil haavatavas süsteemis õigusi suurendada. Konkreetsed nõrkused on parandatud operatsioonisüsteemides macOS 12.7/13.6, iOS 16.7/17.0.1, iPadOS 16.7/17.0.1 ja watchOS 9.6.3/10.0.1. Soovitame uuendused rakendada esimesel võimalusel (BP, Apple, Apple).

  • GitLab paikas kriitilise turvanõrkuse

GitLab paikas kriitilise turvavea (CVE-2023-4998), mis mõjutab tarkvarade GitLab Community Edition (CE) ja Enterprise Edition (EE) versioone 13.12 kuni 16.2.7 ja 16.3 kuni 16.3.4. Turvaviga on hinnatud CVSS skooriga 9.6/10. Haavatavus on parandatud GitLab Community Edition ja Enterprise Edition versioonides 16.3.4 ning 16.2.7. Ettevõtte soovitab viivitamatult uuendada GitLabi tarkvara uuele versioonile (BC, Gitlab).

  • Fortinet paikas kõrge mõjuga turvavead oma toodetes

Turvanõrkus (CVE-2023-29183) mõjutab Fortineti teenuseid FortiOS ja FortiProxy. Tegemist on haavatavusega, mis võimaldab pahaloomulist JavaScripti koodi käivitada. Turvaviga mõjutab FortiOSi versioone 6.2.x, 6.4.x, 7.0.x ja 7.2.x ning FortiProxy versioone 7.2.x ja 7.0.x. Teine kõrge mõjuga haavatavus (CVE-2023-34984) mõjutab FortiWebi versioone 6.3, 6.4, 7.0.x ja 7.2.x. Tarkvarade kasutajad peaksid esimesel võimalusel veenduma, et vastavad turvauuendused on rakendatud (SW, Fortinet, Fortinet).

  • Atlassian paikas neli turvanõrkust

Atlassian avalikustas turvauuendused neljale haavatavusele, mis mõjutavad kas Jira, Confluence’i, Bitbucketi või Bamboo tarkvara. Kõige tõsisemat haavatavust märgitakse tähisega CVE-2023-22513 (CVSS skoor 8.5/10.0) ja selle abil on autentitud ründajal võimalik käivitada haavatavas Bitbucketi süsteemis pahaloomulist koodi. Turvanõrkus on parandatud Bitbucketi versioonides 8.9.5, 8.10.5, 8.11.4, 8.12.2, 8.13.1 ja 8.14.0 (SW, Atlassian).

  • Tuhandeid Juniperi võrguseadmeid ohustab kriitiline turvanõrkus

Hinnanguliselt 12 000 Juniperi SRX-tulemüüri ja EX switchi on haavatavad koodi kaugkäivitamise vea suhtes, mida autentimata ründajad saavad ära kasutada. Vead tähistega CVE-2023-36845 ja CVE-2023-36846 avaldati juba augustis, kuid siis polnud teada, et nende koosmõjul tekib kriitiline haavatavus. Tootja soovitab kõigil mõjutatud Juniperi seadmete kasutajal uuendada tarkvara esimesel võimalusel, kuna haavatavuse kaudu võib saada ründaja ligipääsu ohvri võrgule. Täpsem loetelu mõjutatud seadmetest on lisatud linkidel (BC, Juniper).

Olulised turvanõrkused 2023. aasta 21. nädalal

GitLab paikas kriitilise turvanõrkuse

GitLab parandas kriitilise turvavea tähisega CVE-2023-2825, mis on hinnatud maksimaalse kriitilisuse skooriga (10.0/10.0). Turvanõrkus on kriitiline, kuna selle kaudu on võimalik saada ligipääs tundlikule infole, sh kasutajakontode andmetele. Viga mõjutab GitLabi tarkvarade GitLab Community Edition (CE) ja Enterprise Edition (EE) versiooni 16.0.0 (GitLab).


Kes ja mida peaks tegema?

Ettevõtte soovitab viivitamatult uuendada mõjutatud tarkvara vähemalt versioonile 16.0.1, milles on turvanõrkus parandatud.

Cisco võrguseadmetel tuvastati neli kriitilist turvanõrkust

Cisco kommutaatorites (switch) avastati neli kriitilist turvanõrkust, mis võimaldavad ründajatel juurõigustes kaugkäivitada pahatahtlikku koodi. Turvanõrkused on hinnatud peaaegu maksimaalse kriitilisuse skooriga (9.8/10) ning neid tähistatakse CVE-2023-20159, CVE-2023-20160, CVE-2023-20161 ja CVE-2023-20189. Haavatavustele on avalikult kättesaadavad kontseptsiooni tõendused (PoC), mille tõttu haavatavaid seadmeid ka aktiivselt otsitakse (BP, Cisco).

Kes ja mida peaks tegema?

Cisco sõnul ei parandatud teatud seadmete tarkvara (Small Business Switches 200, 300 ja 500), kuna neil puudub tootjapoolne tugi (ehk tegu on juba aegunud seadmetega). Uuematele turvanõrkustest mõjutatud seadmetele on turvapaigad olemas. Lisainformatsiooni leiate siit.

Zyxel hoiatab kahe kriitilise turvanõrkuse eest

Zyxel hoiatab kliente kahe kriitilise haavatavuse (CVE-2023-33009 ja CVE-2023-33010) eest, mis mõjutavad mitmeid ettevõtte pakutavaid tulemüüre ja VPN seadmeid. Mõlemad turvanõrkused on seotud puhvri ületäitumisega ja võimaldavad haavatavate seadmete töö häirimist või koodi kaugkäivitamist. Turvavigu saab ründaja kasutada autentimata (BP).

Kes ja mida peaks tegema?

Haavatavad on seadmed, mis kasutavad järgnevaid tarkvarasid:

  • Zyxel ATP püsivara versioonid ZLD V4.32 kuni V5.36 Patch 1 (turvanõrkused parandatud versioonis ZLD V5.36 Patch 2)
  • Zyxel USG FLEX püsivara versioonid ZLD V4.50 to V5.36 Patch 1 (turvanõrkused parandatud versioonis ZLD V5.36 Patch 2)
  • Zyxel USG FLEX50(W) / USG20(W)-VPN püsivara versioonid ZLD V4.25 kuni V5.36 Patch 1 (turvanõrkused parandatud versioonis ZLD V5.36 Patch 2)
  • Zyxel VPN püsivara versioonid ZLD V4.30 kuni V5.36 Patch 1 (turvanõrkused parandatud versioonis ZLD V5.36 Patch 2)
  • Zyxel ZyWALL/USG püsivara versioonid ZLD V4.25 kuni V4.73 Patch 1 (turvanõrkused parandatud versioonis ZLD V4.73 Patch 2)

Tootja soovitab mõjutatud toodete kasutajatel rakendada esimesel võimalusel kõige uuemad turvauuendused, et vältida võimalikku küberintsidenti (BP).

RIA analüüsi- ja ennetusosakond

Olulised turvanõrkused 2023. aasta 3. nädalal

GitLab paikas kaks kriitilist turvanõrkust

Kaks kriitilist turvaviga (CVE-2022-41903 ja CVE-2022-23521) võimaldavad koodi kaugkäitust. CVE-2022-23521 nõrkust saab ära kasutada juhul, kui sihtmärk kloonib või uuendab failide hoiukohti (repositooriumeid). CVE-2022-41903 nõrkust on võimalik ära kasutada näiteks juhul, kui arhiveeritakse Giti hoidlaid (X41).

Kes ja mida peaks tegema?

Turvanõrkused on paigatud Giti versioonis 2.39.1 ning Gitlab Community Edition ja Enterprise Edition versioonides 15.7.5, 15.6.6 ja 15.5.9. Nende tarkvarade kasutajatel soovitame kindlasti vastavad uued versioonid rakendada. Täpsemalt saate nõrkuste kohta lugeda GitLabi kodulehelt (GitLab).

Sudo redigeerimisfunktsioonil avastati turvanõrkus

18. jaanuaril avalikustati, et sudo redigeerimisfunktsioonil (sudo -e aka sudoedit) on turvaviga, mille abil on pahaloomulisel kasutajal võimalik teatud tingimustel muuta faile, mida tavaolukorras ei lubaks sudo poliitika muuta. Sudo funktsiooni kasutatakse laialdaselt Linuxi distributsioonides. Selle funktsiooni kasutamist reguleerib fail (sudoers), kus on välja toodud failide muutmisõigused kasutajapõhiselt. Turvanõrkust saab ära kasutada juhul, kui pahaloomulisel kasutajal on võimalik käivitada süsteemis sudoedit (Sudo).

Kes ja mida peaks tegema?

Turvaviga mõjutab sudo versioone 1.8.0 kuni 1.9.12p1 (kaasaarvatud). Kõik versioonid, mis on vanemad kui 1.8.0, ei ole nõrkuse vastu haavatavad. Nõrkus on parandatud ka sudo versioonis 1.9.12p2.

OpenTexti tarkvaras paigati mitu turvaviga

OpenTexti sisuhaldustarkvaras paigati mitu haavatavust. Nendest üks CVE-2022-45923 võimaldab autentimata ründajal käivitada haavatavas tarkvaras pahaloomulist koodi. CVE-2022-45927 lubab aga ründajal autentimisest mööda pääseda ja teeb pahaloomulise koodi käivitamise haavatavas süsteemis seeläbi lihtsamaks. Lisaks avastati veel viite tüüpi turvanõrkuseid (Sec-Consult).

Kes ja mida peaks tegema?

Turvavead on paigatud OpenTexti sisuhaldustarkvara versioonis 22.4, mille soovitame tarkvara kasutamise korral rakendada.

Cisco paikas kõrge mõjuga turvanõrkuse

Turvanõrkuse CVE-2023-20010 abil on ründajal võimalik teostada SQL-süsti (SQL injection) ehk rünnata andmebaasipõhist rakendust. Haavatavus tuleneb sellest, et veebiliidesed ei suuda korrektselt kontrollida kasutajate sisendit. Haavatavust on hinnatud kriitilisuse skooriga 8.1/10.0. Turvanõrkusest on mõjutatud Cisco toodete Unified Communications Manager (CM) ja  Unified Communications Manager Session Management Edition (CM SME) veebiliidesed. Õnnestunud ründe korral on ründajal võimalik lugeda või muuta andmebaasipõhise rakendusega seotud infot või suurendada haavatavas keskkonnas enda õiguseid (Cisco).

Kes ja mida peaks tegema?

Turvanõrkused on parandatud tarkvarauuendustega. Tutvuge tootja kodulehel avaldatud juhistega ja uuendage vajadusel mõjutatud tarkvara (Cisco).

Neli Azure’i teenust olid haavatavad SSRF tüüpi nõrkuste vastu

Eelmisel nädalal avalikustatud analüüsi kohaselt olid neli Azure’i teenust (Azure API Management, Azure Functions, Azure Machine Learning ja Azure Digital Twins) haavatavad SSRF (server side request forgery) tüüpi turvanõrkuste vastu.  Sealjuures õnnestus analüüsi autoritel kahte turvanõrkust ära kasutada nii, et nad ei pidanud end selleks autentima. SSRF tüüpi nõrkuste puhul on tegu haavatavustega, mis võimaldavad ründajal kuritarvitada veebirakendust ja esitada päringuid sisemiste ressursside lugemiseks, värskendamiseks või nende edastamiseks välistele allikatele[1].

Konkreetsed turvanõrkused lubasid teoreetiliselt skaneerida lokaalseid porte, ja tuvastada uusi teenuseid ning faile ehk koguda informatsiooni, mis ei tohiks olla avalikult kättesaadav. Turvanõrkustest anti Microsoftile teada ja need parandati kiiresti (Orca).

RIA analüüsi- ja ennetusosakond