GitLab访问控制不当漏洞（CVE-2023-3484）

GitLab是一个用于仓库管理系统的开源项目，其使用Git作为代码管理工具，可通过Web界面访问公开或私人项目。

7月6日，启明星辰VSRC监测到GitLab官方发布更新公告，修复了GitLab企业版（EE）中的一个访问控制不当漏洞（CVE-2023-3484），该漏洞的CVSSv3评分为8.0。

GitLab企业版（EE）版本12.8 - 15.11.11之前、16.0 -16.0.7 之前、16.1 -16.1.2 之前在某些情况下存在访问控制不当，可利用该漏洞更改公共顶级组的名称或路径。

二、影响范围

12.8 <= GitLab EE版本< 15.11.11

16.0 <= GitLab EE版本<16.0.7

16.1<= GitLab EE版本<16.1.2

三、安全措施

3.1 升级版本

目前该漏洞已经修复，运行受影响版本的GitLab企业版 (EE)用户可及时升级到版本16.1.2、16.0.7 或15.11.11。

下载链接：

https://about.gitlab.com/update/

注：此外，GitLab社区版（CE）版本16.1.2、16.0.7和15.11.11也已经发布。

3.2 临时措施

暂无。

3.3 通用建议

定期更新系统补丁，减少系统漏洞，提升服务器的安全性。

加强系统和网络的访问控制，修改防火墙策略，关闭非必要的应用端口或服务，减少将危险服务（如SSH、RDP等）暴露到公网，减少攻击面。

使用企业级安全产品，提升企业的网络安全性能。

加强系统用户和权限管理，启用多因素认证机制和最小权限原则，用户和软件权限应保持在最低限度。

启用强密码策略并设置为定期修改。

3.4 参考链接

https://about.gitlab.com/releases/2023/07/05/security-release-gitlab-16-1-2-released/

https://nvd.nist.gov/vuln/detail/CVE-2023-3484

原文始发于微信公众号（维他命安全）：【漏洞通告】GitLab访问控制不当漏洞（CVE-2023-3484）