GitLab je objavio kritične sigurnosne zakrpe koje rješavaju 11 ranjivosti na svojim platformama Community Edition (CE) i Enterprise Edition (EE), s nekoliko visokorizičnih nedostataka koji omogućavaju napade uskraćivanja usluge (DoS) .
Koordinirano izdanje verzija 18.0.1, 17.11.3 i 17.10.7 dolazi u trenutku kada se DevOps platforma suočava s višestrukim vektorima napada koji bi mogli destabilizirati sisteme kroz iscrpljivanje resursa, zaobilaženje autentifikacije i rizike od izlaganja podataka.
Ovo sigurnosno ažuriranje predstavlja najopsežniji GitLabov napor za sanaciju u 2025. godini, utičući na sve modele implementacije, uključujući instalacije omnibusa, izvornog koda i helm grafikona.
Kompanija toplo preporučuje da se sve samostalno upravljane GitLab instalacije odmah nadograde, uz napomenu da GitLab.com već koristi ažuriranu verziju.
Kritična ranjivost krajnje tačke velikih blob objekata
Najozbiljnija ranjivost (CVE-2025-0993) omogućava autentifikovanim napadačima da izazovu iscrpljivanje resursa servera putem nezaštićene krajnje tačke velikih blobova, s ocjenom 7,5 na CVSS v3.1 skali.
Ova ozbiljna greška utiče na sve instalacije prije zakrpljenih verzija, omogućavajući prijetnjama da preopterete sisteme ponovljenim slanjem prevelikih količina podataka.
Git blob (binarni veliki objekt) je tip objekta koji se koristi za pohranjivanje sadržaja svake datoteke u repozitoriju.
Čini se da ranjivost iskorištava GitLabov način rukovanja ovim blobovima, koji za veličine veće od 10 MB već imaju ograničenje brzine od 5 zahtjeva u minuti.
Sigurnosni tim je potvrdio da bi ova ranjivost mogla uzrokovati produženi prekid rada u nezaštićenim okruženjima.
Zakrpljeni vektori DoS napada srednjeg stepena ozbiljnosti
U ovom izdanju identifikovano je i obrađeno nekoliko dodatnih DoS vektora srednjeg stepena ozbiljnosti:
- CVE-2025-3111 (CVSS 6.5): Neograničeni tokeni Kubernetes klastera mogu dovesti do DoS-a. Nedostatak validacije unosa u Kubernetes integraciji omogućava autentifikovanim korisnicima da izazovu uskraćivanje usluge generisanjem prekomjernog broja tokena.
- CVE-2025-2853 (CVSS 6.5): Nevalidirana pozicija bilješki može dovesti do uskraćivanja usluge (Denial of Service). Nedostatak odgovarajuće validacije u GitLabu mogao bi omogućiti autentifikovanom korisniku da pokrene DoS uslov.
- CVE-2024-7803 (CVSS 6.5): Integracija Discord webhooka može uzrokovati DoS. Ova ranjivost utiče na sve verzije od 11.6 prije izdanja sa zakrpama.
Prethodna istraživanja su pokazala da se funkcionalnost webhooka u GitLabu može zloupotrijebiti za DoS napade.
Kao što je navedeno u jednom izvještaju o grešci : „Budući da ne postoji ograničenje brzine za funkciju webhook na gitlab.com, napadači mogu ovo iskoristiti za slanje mnogo zahtjeva serveru žrtve“.
GitLab poziva administratore da odmah preduzmu mjere:
Odmah nadogradite: „Preporučujemo da se sve instalacije koje koriste verziju pogođenu opisanim problemima što prije nadograde na najnoviju verziju.“
Primijenite pravilnu validaciju unosa: Mnoge ranjivosti proizlaze iz neadekvatne validacije korisničkih unosa, posebno za blobove, pozicije bilješki i Kubernetes tokene.
Praćenje sistemskih resursa: Tokom potencijalnih napada, praćenje korištenja CPU-a i memorije može pomoći u identifikovanju pokušaja zloupotrebe.
Komande poput htop za opštu upotrebu sistemske memorije i dmesg -T -w za logove kernela mogu biti vrijedni dijagnostički alati.
Razmotrite konfiguraciju pohrane objekata: Za velike instance, konfigurisanje odgovarajuće pohrane objekata s odgovarajućim ograničenjima može pomoći u ublažavanju napada povezanih s blobovima.
Izvor: CyberSecurityNews
