GitLab 督促用户安装安全更新,修复严重的管道漏洞
2023-9-20 12:17:37 Author: mp.weixin.qq.com(查看原文) 阅读量:9 收藏

 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

GitLab 发布安全更新,修复了影响 GitLab 社区版和企业版13.12至16.2.7以及16.3至16.3.4的一个严重漏洞CVE-2023-4998(CVSS v3评分9.6)。该漏洞可导致攻击者通过调度的安全扫描策略以其它用户身份运行管道。

GitLab 是一个热门的基于 web 的开源软件项目管理和工作追踪平台,提供免费和商用版本。该漏洞是由安全研究员兼猎洞者Johan Carlsson 发现的。GitLab 称该漏洞是一个中危漏洞CVE-2023-3932并已在8月份修复。Carlsson 发现了绕过该防护措施的方法并演示了其它影响,因此该漏洞从中危升级到严重级别。

在用户号未察觉或未授权的情况下模拟他们运行管道任务(一系列自动化任务),可导致攻击者访问敏感信息或者滥用所模拟用户的权限运行代码、修改数据或者触发 GitLab 系统中的特定事件。

鉴于GitLab 用于管理代码,因此攻陷可导致知识财产丢失、数据泄露、供应链攻击和其它高风险场景。GitLab 的公告强调了该漏洞的严重性,督促用户及时应用可用的安全更新。

GitLab 社区版和企业版16.3.4和16.2.7已修复CVE-2023-4998。

16.2版本之前的用户如未收到修复方案,则建议避免同时启动“直接转移”和“安全策略”两个选项,以便进行缓解。如这两个特性均为活跃状态,则说明该实例易受攻击,因此建议用户一次仅打开一个特性。

代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com

推荐阅读

GitLab强烈建议尽快修复 CVSS 满分漏洞

GitLab修复GitHub import函数中的RCE漏洞

GitLab 远程代码执行漏洞安全风险通告

GitLab 修复两个严重的远程代码执行漏洞

GitLab 修复严重的RCE漏洞

原文链接

https://www.bleepingcomputer.com/news/security/gitlab-urges-users-to-install-security-updates-for-critical-pipeline-flaw/

题图:Pexels License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错,就点个 “在看” 或 "” 吧~


文章来源: https://mp.weixin.qq.com/s?__biz=MzI2NTg4OTc5Nw==&mid=2247517701&idx=2&sn=9efeb89e9c34a3dcb192e347897ea5d3&chksm=ea94b76fdde33e79439751b5f121c7f1c6903963de1ec1e650ed19876271b10ebc9271391861&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh