GitLab 本周三发布了一个安全更新,以修复多个安全漏洞,其中最严重的漏洞(CVE-2024-6678,CVSS评分9.9)允许攻击者在特定条件下以任意用户身份触发管道。
GitLab 管道是一种自动化工作流程,用于构建、测试和部署代码,是 GitLab 的 CI/CD(持续集成/持续交付)系统的一部分。它们旨在通过自动化重复任务并确保对代码库的更改得到一致的测试和部署,从而简化软件开发过程。
该漏洞的严重性来自于其远程利用的可能性、无需用户交互以及低权限要求,可让攻击者以停止操作作业的所有者身份执行环境停止操作。GitLab 警告称,该问题影响 CE/EE 版本8.14 至17.1.7、17.2 至17.2.5 以及17.3 至17.3.2。
值得注意的是,GitLab 在最近几个月多次对管道执行漏洞进行了修复,例如2024 年 7 月修复 CVE-2024-6385、2024 年 6 月修复 CVE-2024-5655 以及 2023 年 9 月修复 CVE-2023-5009,所有这些漏洞都是高严重性。虽然没有证据表明这些漏洞有在野积极利用的迹象,但仍建议用户尽快应用补丁,以减轻潜在的威胁。
GitLab公告中还列出了四个值得关注的漏洞,评分在 6.7-8.5 之间,这些问题可能允许攻击者破坏服务、执行未经授权的命令或破坏敏感资源,总结如下:
CVE-2024-8640:由于输入过滤不当,攻击者可以通过 YAML 配置将命令注入连接的 Cube 服务器,可能破坏数据完整性。影响 GitLab EE 16.11往后的版本。CVE-2024-8635:攻击者可以通过构造自定义 Maven 依赖项代理 URL 来利用服务器端请求伪造(SSRF)漏洞,从而对内部资源发起请求,破坏内部基础设施。影响 GitLab EE 16.8 往后的版本。CVE-2024-8124:攻击者可以通过发送大量的“glm_source”参数来触发拒绝服务(DoS)攻击,从而使系统不可用。影响 GitLab CE/EE 16.4往后的版本。CVE-2024-8641:攻击者可以利用 CI_JOB_TOKEN 来获取受害者的 GitLab 会话令牌,从而劫持会话。影响 GitLab CE/EE 13.7往后的版本。
要获取详细更新说明及修复版本,请访问 GitLab 的官方下载门户:
https://about.gitlab.com/releases/2024/09/11/patch-release-gitlab-17-3-2-released/
资讯来源:gitlab
转载请注明出处和本文链接
