CVE-2024-0402:GitLab 建议立即更新

阅读量49797

发布时间 : 2024-01-31 12:00:20

在修补无需用户交互即可接管帐户的安全漏洞后不到两周,GitLab Inc. 再次修补了 GitLab CE/EE 中的一个严重漏洞 (CVE-2024-0402),并敦促用户立即更新其安装。

GitLab Inc. 运营 GitLab.com(基于 Web 的 Git 存储库)并开发 GitLab 社区版 (CE) 和企业版 (EE),这是一个广泛使用的软件开发平台,具有内置版本控制、问题跟踪、代码审查等功能。

作为一个自我管理的平台,GitLab可以部署在本地服务器、Kubernetes 或云提供商上。

关于 CVE-2024-0402

CVE-2024-0402 是一个漏洞,可能允许经过身份验证的用户在创建工作区时将文件写入 GitLab 服务器上的任意位置。据推测,该漏洞也可能被利用来传播恶意软件。

由 GitLab 团队成员发现,CVE-2024-0402 已在 GitLab CE/EE 版本 16.5.8、16.6.6、16.7.4 和 16.8.1 中修复。(GitLab v16.8已于本月初发布。)

这些版本中修复的其他安全错误

与此同时,该公司还堵塞了四个中等严重程度的漏洞,这些漏洞可能允许攻击者:

访问或暴露敏感数据(CVE-2023-5933、CVE-2023-5612)

触发 DoS 条件 (CVE-2023-6159),并且

分配任意用户来合并他们在项目中创建的请求 (CVE-2024-0456)

但必须指出的是,虽然 GitLab CE/EE 版本 16.5.8、16.6.6 和 16.7.4 包含针对所有上述缺陷的补丁,但版本 16.8.1 仅包含 CVE-2024-0402 的补丁。

“GitLab.com 和 GitLab Dedicated 环境已经在运行修补版本,”该公司补充道。

本文转载自:

如若转载,请注明出处:

安全客 - 有思想的安全新媒体

分享到:微信
+12赞
收藏
安全客
分享到:微信

发表评论

内容需知
  • 投稿须知
  • 转载须知
  • 官网QQ群8:819797106
  • 官网QQ群3:830462644(已满)
  • 官网QQ群2:814450983(已满)
  • 官网QQ群1:702511263(已满)
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 360网络攻防实验室 安全客 All Rights Reserved 京ICP备08010314号-66