Компания GitLab выпустила внеплановое обновление безопасности, устраняющее четыре уязвимости в системах управления репозиториями, две из которых имеют высокий уровень опасности. Проблемы затрагивают как Community Edition (CE), так и Enterprise Edition (EE) с самостоятельным управлением, и позволяют злоумышленникам осуществлять атаки типа «отказ в обслуживании» (Denial-of-Service, DoS) и получать несанкционированный доступ к конфиденциальным данным.
Детали уязвимостей
Владельцам автономных инсталляций рекомендуется немедленно обновить свои системы до версий 18.4.2, 18.3.4 или 18.2.8. Облачная платформа GitLab.com уже работает с исправленными версиями, а клиенты услуги GitLab Dedicated не подвержены указанным уязвимостям. Все типы развертывания - пакеты omnibus, установки из исходного кода и Helm-чарты - требуют обновления, если иное не указано в документации.
Среди исправленных уязвимостей две получили оценку High по шкале severity. Первая, CVE-2025-10004 с баллом CVSS 7.5, позволяет неаутентифицированным злоумышленникам полностью парализовать работу GitLab, отправляя специально сформированные GraphQL-запросы на получение больших двоичных объектов репозиториев. Вторая, CVE-2025-11340 (CVSS 7.7), связана с ошибкой авторизации в GraphQL-мутациях, которая могла позволить пользователям с токенами только для чтения выполнять несанкционированные операции записи в Enterprise Edition.
Две уязвимости средней степени опасности также представляют серьезную угрозу. CVE-2025-9825 (CVSS 5.0) позволяет неавторизованным пользователям просматривать конфиденциальные переменные CI/CD через GraphQL API, что может привести к утечке учетных данных и другой чувствительной информации. CVE-2025-2934 (CVSS 4.3) затрагивает обработку веб-хуков, позволяя отправлять специально сконструированные HTTP-ответы, которые истощают системные ресурсы и вызывают отказ в обслуживании.
Особое внимание следует уделить тому, что проблемы с авторизацией в GraphQL становятся все более распространенным вектором атак на системы управления разработкой. GraphQL, будучи мощным инструментом для запросов данных, при неправильной настройке прав доступа может предоставить злоумышленникам возможность обходить традиционные механизмы безопасности.
Компания напоминает, что регулярное обновление до последних версий программного обеспечения является ключевым элементом защиты от известных уязвимостей. GitLab следует строгому графику выпуска обновлений - дважды в месяц по вторым и четвертым средам, с дополнительными внеплановыми патчами для критических проблем безопасности. Такой подход позволяет своевременно реагировать на возникающие угрозы.
Для администраторов, отвечающих за обслуживание инсталляций GitLab, критически важно не только применять исправления, но и следовать рекомендациям из руководства по безопасности. Это включает в себя настройку robust-контроля доступа, правильное управление токенами и обеспечение сетевой изоляции окружений разработки. Специалисты также рекомендуют регулярно проводить аудит прав доступа пользователей и валидацию входящих запросов к API.
GitLab демонстрирует прозрачность в вопросах безопасности, публикуя детальные отчеты об исправленных уязвимостях через 30 дней после выпуска патчей и поддерживая публичный трекер проблем. Эта практика позволяет сообществу безопасности проводить независимый анализ и способствует общему повышению осведомленности о киберугрозах.
В контексте растущего числа атак на цепочки поставок программного обеспечения своевременное применение исправлений для систем управления разработкой становится не просто рекомендацией, а обязательным требованием. Уязвимости в таких платформах, как GitLab, могут быть использованы для компрометации всего процесса разработки и поставки программного обеспечения организации.
Администраторам следует обратиться к официальной документации GitLab - руководству по выпускам и часто задаваемым вопросам по безопасности - для получения подробных инструкций по обновлению и лучшим практикам обеспечения защиты. Поддержание актуальных версий программного обеспечения не только защищает от известных эксплойтов, но и обеспечивает соответствие evolving-стандартам безопасности в постоянно меняющейся landscape угроз.
