聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
GitLab 是一个热门的基于 web 的开源软件项目管理和工作追踪平台,提供免费和商用版本。该漏洞是由安全研究员兼猎洞者Johan Carlsson 发现的。GitLab 称该漏洞是一个中危漏洞CVE-2023-3932并已在8月份修复。Carlsson 发现了绕过该防护措施的方法并演示了其它影响,因此该漏洞从中危升级到严重级别。
在用户号未察觉或未授权的情况下模拟他们运行管道任务(一系列自动化任务),可导致攻击者访问敏感信息或者滥用所模拟用户的权限运行代码、修改数据或者触发 GitLab 系统中的特定事件。
鉴于GitLab 用于管理代码,因此攻陷可导致知识财产丢失、数据泄露、供应链攻击和其它高风险场景。GitLab 的公告强调了该漏洞的严重性,督促用户及时应用可用的安全更新。
GitLab 社区版和企业版16.3.4和16.2.7已修复CVE-2023-4998。
16.2版本之前的用户如未收到修复方案,则建议避免同时启动“直接转移”和“安全策略”两个选项,以便进行缓解。如这两个特性均为活跃状态,则说明该实例易受攻击,因此建议用户一次仅打开一个特性。
https://www.bleepingcomputer.com/news/security/gitlab-urges-users-to-install-security-updates-for-critical-pipeline-flaw/
题图:Pexels License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
原文始发于微信公众号(代码卫士):GitLab 督促用户安装安全更新,修复严重的管道漏洞
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论