CVE-2026-1273 в GitLab CE: критическая RCE, кто уже пропатчил self-hosted?

[valru]

Ночью GitLab выкатил внеплановые релизы 18.7.2, 18.6.4 и 18.5.6 — закрывают CVE-2026-1273, неаутентифицированную RCE с CVSS 9.8. По данным вендора, эксплуатация уже идёт в дикой природе, причём массово сканируют именно инстансы, торчащие наружу. У нас в конторе GitLab CE — сердце всей разработки, обновились утром в аварийном окне за 40 минут. Кто ещё на self-hosted — не тяните, это из разряда «бросай всё и патчь». Заодно проверьте, что веб-морда не смотрит в интернет без крайней необходимости.

[barbs]

Накатили патч через ansible-плейбук ещё до обеда, даунтайм минут пятнадцать. Но главный вывод для себя сделал другой: GitLab вообще не должен быть доступен из интернета. После прошлогодних историй с ExifTool и account takeover мы спрятали его за WireGuard, и теперь такие CVE — повод для планового обновления, а не для паники. Понимаю, что с подрядчиками так сложнее, но выдать им VPN-профиль дешевле, чем разбирать инцидент.

[debian91]

Дополню как человек, который сегодня полдня сидел в логах. Если ваш инстанс был доступен снаружи до патча — обновиться мало, нужно проверить, не успели ли к вам зайти. Что смотреть: всплески 404/500 в nginx-логах GitLab за последние две недели, незнакомые admin-аккаунты, свежие изменения в CI-переменных и новые deploy-токены. Если есть хоть малейшее подозрение — ротируйте всё: runner-токены, personal access tokens, секреты в CI/CD, SSH-ключи деплоя. Компрометация GitLab — это компрометация всей кодовой базы и пайплайнов, тут лучше перебдеть. Мы у себя дополнительно включили обязательную 2FA для всех и закрыли регистрацию, она у нас зачем-то была открыта с 2021 года. И да, по опыту аудитов в СНГ-компаниях: примерно у каждой третьей GitLab открыт всему интернету «потому что удобно аутсорсерам». Вот именно по таким сейчас и идёт сканирование.

[bunmaker]

А мы года полтора назад переехали на Forgejo и не нарадуемся. Поверхность атаки в разы меньше, обновляется за минуту перезапуском контейнера. GitLab — комбайн, в котором половиной функций никто не пользуется, а уязвимости прилетают регулярно, достаточно changelog за любой год открыть. Понимаю, что крупной команде с привычными пайплайнами мигрировать больно, но для команд до 30 человек смысла тащить GitLab не вижу никакого.

[krayzie]

Подскажите, а что делать тем, кто застрял на 16.11? Обновление на 18.x у нас упирается в кучу кастомных интеграций, которые писал уволившийся два года назад человек. Вендор для старых веток патч не выпустил.

[KafkaAndy]

Отвечу выше: ветка 16.x не поддерживается уже давно, и фиксов для неё не будет — вы уязвимы не только к этой CVE, а к десятку предыдущих. Краткосрочно: немедленно убрать инстанс из интернета, доступ только из внутренней сети или по VPN, это снимет остроту. Среднесрочно — закладывать миграцию как техдолг номер один, идти по официальному upgrade path через 17.x с тестовым стендом. Кастомные интеграции почти наверняка живут на REST API, который между мажорными версиями ломается меньше, чем кажется. Мы такой же переезд с 15.x делали в прошлом году — заняло три недели с одним инженером, страшно было только начать.