本周,GitLab发布了一个重要的安全补丁,以修复一个严重身份认证绕过漏洞(CVE-2023-5009,CVSS 分数:9.6)。GitLab安全公告中写道:“发现了一个影响GitLab EE(从13.12版本开始到16.2.7之前的所有版本,以及从16.3版本开始到16.3.4之前的所有版本)的问题。攻击者能够通过计划的安全扫描策略以任意用户身份运行流水线。这是对CVE-2023-3932的绕过,显示出额外的影响。这是一个critical级别的高严重性问题。”据了解,攻击者可以利用此漏洞访问敏感信息,或使用所冒充用户的提升权限来访问或修改源代码,或在系统上运行任意代码。该漏洞由安全研究员Johan Carlsson通过GitLab HackerOne漏洞赏金计划报告。GitLab为此发布了Community Edition(社区版)的16.3.4版本和Enterprise Edition(企业版)的16.2.7版本以修复此漏洞。GitLab.com目前已在运行修补版本。为降低此漏洞的风险,GitLab强烈建议所有用户立即升级到GitLab社区版(CE)和企业版(EE)的最新版本。对于不便升级的情况,为缓解漏洞影响,用户需要禁用“Direct transfers”和“Security policies”其中至少一个功能。假如同时启用了这两个功能,则会处于易受攻击状态。编辑:左右里
资讯来源:gitlab、X
转载请注明出处和本文链接
也称为无效告警,通常指告警错误,即把合法行为判断成非法行为而产生了告警。目前,由于攻击技术的快速进步和检测技术的限制,误报的数量非常大,使得安全人员不得不花费大量时间来处理此类告警,已经成为困扰并拉低日常安全处置效率的主要原因。
文章来源: https://mp.weixin.qq.com/s?__biz=MjM5NTc2MDYxMw==&mid=2458518475&idx=3&sn=4f8ecfc3f7f13f0ffbf2d085451a03cf&chksm=b18d334186faba57fdc7b868b6dbbe0947d090283a087497aa9bee883f9b22ea001ca403db1a&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh