GitLab强烈建议尽快修复 CVSS 满分漏洞
编译:代码卫士
GitlAB 是基于 web 的 Git 仓库,为需要远程管理代码的开发团队服务,目前已拥有约3000万名已注册用户以及100万名付费客户。该漏洞由研究员 pwnie 发现并提交给 HackerOne 平台。
CVE-2023-2825虽然影响 GitLab 社区版 (CE) 和企业版 (EE) 16.0.0,但低于该版本的所有版本均不受影响。该漏洞是由路径遍历问题引发的。当附件存在于至少五个组的公开项目时,可导致未认证攻击者读取服务器上的任意文件。
利用该漏洞可暴露敏感数据,包括专有软件代码、用户凭据、令牌、文件和其它私密信息。这些前提说明该漏洞与 GitLab 如何管理或解决所附文件路径有关。然而,鉴于该漏洞的严重性以及披露的时效性,GitLab 并未透露更多详情。
GitLab 强调了立即应用最新安全更新的重要性。GitLab 在安全公告中提到,“我们强烈建议所有运行受如下这些漏洞影响版本的程序,尽快升级至最新版本。如未提到特定的部署版本,则意味着所有类型均受影响。”
一个缓解因素是,该漏洞仅可在特定条件下被触发,即当嵌入至少五个组的某个公开项目中存在附件时就会被触发,并非所有的 GitHub 项目都遵循这种结构。尽管如此,建议所有的 GitLab 16.0.0用户尽快升级至16.0.1。遗憾的是,目前并不存在缓解措施。
要更新 GitLab 版本,可遵循该项目的更新页面指南。对于 GitLab Runner 更新,可按照相关更新操作。
https://www.bleepingcomputer.com/news/security/gitlab-strongly-recommends-patching-max-severity-flaw-asap/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。