聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
新发布的版本17.3.2、17.2.5和17.1.7 同时适用于GitLab 社区版 (CE) 和企业版 (EE)。GitLab 在本次双月安全更新中共修复18个安全问题。CVE-2024-6678的CVSS评分为9.9,可导致攻击者以停止操作任务的所有人身份执行环境停止操作。
该漏洞的严重性在于它可能导致远程利用、缺少用户交互以及利用权限要求低。GitLab 提醒称该漏洞影响 CE/EE 8.14至17.1.7版本、早于17.2.5的17.2版本以及17.3至17.3.2之前的版本。GitLab 提到,“我们强烈建议所有运行受影响版本的用户尽快升级至最新版本。”
GitLab 管道是用于构建、测试和部署代码的自动工作流,是 GitLab CI/CD 系统的一部分。这些管道旨在通过自动化执行重复性任务并确保代码库中的更改经过测试和部署的方式,疏通软件开发流程。GitLab 最近几个月多次修复多个任意管道执行漏洞,包括在2024年7月,修复CVE-2024-6385;2024年6月修复CVE-2024-5655;以及在2023年9月修复CVE-2023-5009,它们均为严重级别。
GitLab 还在安全公告中列出了CVSS评分为6.7到8.5之间的四个高危漏洞,它们可导致攻击者破坏服务、执行越权命令或攻陷敏感资源。这些漏洞的简述如下:
-
CVE-2024-8640:由于输入过滤不当,攻击者可通过YAML配置将命令注入联网的Cube 服务器,从而可能攻陷数据完整性,影响 GitLab EE 16.11及后续版本。
-
CVE-2024-8635:攻击者可构造自定义 Maven Dependency Proxy URL,利用SSRF 漏洞,向内部资源提出请求,攻陷内部基础设施。该漏洞影响GitLab EE 16.8及后续版本。
-
CVE-2024-8124:攻击者可发送较大的 “glm_source” 参数,占满系统并使其不可用,触发DoS 攻击。该漏洞影响 GitLab CE/EE 16.4及后续版本。
-
CVE-2024-8641:攻击者可利用CI_JOB_TOKEN 获得对受害者 GitLab 会话令牌的访问权限,劫持会话。该漏洞影响 GitLab CE/EE 13.7及后续版本。
用户可查看 GitLab 的官方下载门户,查看更多的更新指南、源代码和程序包。另外可获取最新的 GitLab Runner 包。
原文始发于微信公众号(代码卫士):GitLab 提醒注意严重的管道执行漏洞
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论