GitLab CE/EE に脆弱性が確認されました, ~のすべてのバージョンに影響を与える 16.0 に 16.5.8, 16.6 に 16.6.6, 16.7 に 16.7.4, と 16.8 に 16.8.1. この欠陥により、認証されたユーザーはワークスペースの作成プロセス中に GitLab サーバー上の任意の場所にファイルを書き込むことができます。.
として追跡 CVE-2024-0402, 脆弱性は依然として高い CVSS スコア 9.9 から 10, その深刻さを強調する.
CVE-2024-0402: 短い技術概要
特定された問題は、以下の GitLab CE/EE バージョンに影響します。 16.0 に 16.5.8, 16.6 に 16.6.6, 16.7 に 16.7.4, と 16.8 に 16.8.1. 認証されたユーザーは、ワークスペースの作成中に GitLab サーバー上の任意の場所にファイルを書き込むことができます。. GitLab はパッチで問題に即座に対処しました, バージョンにバックポートされた 16.5.8, 16.6.6, 16.7.4, と 16.8.1.
重大な欠陥を修正することに加えて、, GitLab は最新のアップデートで 4 つの中程度の重大度の脆弱性に対処しました. これらには、正規表現によるサービス妨害につながる可能性のある脆弱性が含まれます。 (ReDoS), HTMLインジェクション, タグ RSS フィードを介したユーザーのパブリック電子メール アドレスの意図しない開示.
これ リリース 2 週間前の GitLab による前回の更新に続きます, DevSecOps プラットフォームは 2 つの重大な欠点を解決しました。, そのうちの 1 つは、ユーザーの介入なしにアカウントを乗っ取るために悪用される可能性があります。 (CVE-2023-7028, CVSSスコア: 10.0).
CVE-2023-7028 は、セキュリティ研究者「Asterion」によって報告されました。’ HackerOne バグ報奨金プラットフォームを通じて. 5月に導入されました 1, 2023, バージョン付き 16.1.0, さまざまなバージョンに影響を与える, 前のものも含めて 16.7.2. GitLab は、パッチ適用済みのバージョンに更新することをユーザーに強く推奨します。 (16.7.2, 16.5.6, と 16.6.4) または修正を実装する, バージョンにバックポートされました 16.1.6, 16.2.9, と 16.3.7.
潜在的なリスクを軽減するには, ユーザーは、GitLab インストールをパッチ適用済みバージョンに速やかにアップグレードすることを強くお勧めします。. GitLab.com および GitLab D dedicated 環境ではすでに最新バージョンが実行されていることは注目に値します。, セキュリティ対策を強化し、新たな脅威から守るためにソフトウェアを最新の状態に保つことの重要性を強調する.
ミレーナ・ディミトロワ
プロジェクトの開始以来SensorsTechForumに所属しているインスピレーションを得たライター兼コンテンツマネージャー. の専門家 10+ 魅力的なコンテンツの作成における長年の経験. ユーザーのプライバシーとマルウェア開発に焦点を当てています, 彼女はサイバーセキュリティが中心的な役割を果たす世界を強く信じています. 常識が意味をなさない場合, 彼女はメモを取るためにそこにいます. それらのメモは後で記事になる可能性があります! Milena@Milenyimをフォローする
フォローしてください: