GitLab 提醒注意严重的管道执行漏洞

admin 2024年9月13日18:43:55评论12 views字数 1090阅读3分38秒阅读模式

GitLab 提醒注意严重的管道执行漏洞聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

GitLab 发布重要更新,修复多个漏洞,其中最严重的CVE-2024-6678可导致攻击者在某些条件下以任意用户身份触发管道。
GitLab 提醒注意严重的管道执行漏洞

新发布的版本17.3.2、17.2.5和17.1.7 同时适用于GitLab 社区版 (CE) 和企业版 (EE)。GitLab 在本次双月安全更新中共修复18个安全问题。CVE-2024-6678的CVSS评分为9.9,可导致攻击者以停止操作任务的所有人身份执行环境停止操作。

该漏洞的严重性在于它可能导致远程利用、缺少用户交互以及利用权限要求低。GitLab 提醒称该漏洞影响 CE/EE 8.14至17.1.7版本、早于17.2.5的17.2版本以及17.3至17.3.2之前的版本。GitLab 提到,“我们强烈建议所有运行受影响版本的用户尽快升级至最新版本。”

GitLab 管道是用于构建、测试和部署代码的自动工作流,是 GitLab CI/CD 系统的一部分。这些管道旨在通过自动化执行重复性任务并确保代码库中的更改经过测试和部署的方式,疏通软件开发流程。GitLab 最近几个月多次修复多个任意管道执行漏洞,包括在2024年7月,修复CVE-2024-6385;2024年6月修复CVE-2024-5655;以及在2023年9月修复CVE-2023-5009,它们均为严重级别。

GitLab 还在安全公告中列出了CVSS评分为6.7到8.5之间的四个高危漏洞,它们可导致攻击者破坏服务、执行越权命令或攻陷敏感资源。这些漏洞的简述如下:

  • CVE-2024-8640由于输入过滤不当,攻击者可通过YAML配置将命令注入联网的Cube 服务器,从而可能攻陷数据完整性,影响 GitLab EE 16.11及后续版本。

  • CVE-2024-8635攻击者可构造自定义 Maven Dependency Proxy URL,利用SSRF 漏洞,向内部资源提出请求,攻陷内部基础设施。该漏洞影响GitLab EE 16.8及后续版本。

  • CVE-2024-8124攻击者可发送较大的 “glm_source” 参数,占满系统并使其不可用,触发DoS 攻击。该漏洞影响 GitLab CE/EE 16.4及后续版本。

  • CVE-2024-8641攻击者可利用CI_JOB_TOKEN 获得对受害者 GitLab 会话令牌的访问权限,劫持会话。该漏洞影响 GitLab CE/EE 13.7及后续版本。

用户可查看 GitLab 的官方下载门户,查看更多的更新指南、源代码和程序包。另外可获取最新的 GitLab Runner 包。

原文始发于微信公众号(代码卫士):GitLab 提醒注意严重的管道执行漏洞

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年9月13日18:43:55
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   GitLab 提醒注意严重的管道执行漏洞https://cn-sec.com/archives/3164381.html

发表评论

匿名网友 填写信息