GitLab强烈建议尽快修复 CVSS 满分漏洞

最新推荐文章于 2024-05-24 17:24:02 发布
最新推荐文章于 2024-05-24 17:24:02 发布
阅读量647 收藏
点赞数
文章标签: gitlab git github 运维
原文链接:https://mp.weixin.qq.com/s?__biz=MzI2NTg4OTc5Nw==&mid=2247516580&idx=1&sn=3e272b8a4ba9c8f7b596e5bc1c9f6576&chksm=ea94b0cedde339d8dee6f14566aaa4da84cb44e202cc0582353695ecd4620c832ba4c9ddab91&scene=126&sessionid=0
版权
GitLab发布16.0.1版本修复了一个CVSS评分10分的路径遍历漏洞,影响16.0.0版本。此漏洞可能导致未认证攻击者读取服务器任意文件,建议用户立即升级到最新版本。GitLab强调所有受影响版本应尽快更新以防止数据泄露。
摘要由CSDN通过智能技术生成

1b3955ba861ffc918fb51098d9f20548.gif 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

GitLab 发布紧急安全更新 16.0.1版本,修复CVSS评分为10分的路径遍历漏洞CVE-2023-2825。

GitlAB 是基于 web 的 Git 仓库,为需要远程管理代码的开发团队服务,目前已拥有约3000万名已注册用户以及100万名付费客户。该漏洞由研究员  pwnie 发现并提交给 HackerOne 平台。

CVE-2023-2825虽然影响 GitLab 社区版 (CE) 和企业版 (EE) 16.0.0,但低于该版本的所有版本均不受影响。该漏洞是由路径遍历问题引发的。当附件存在于至少五个组的公开项目时,可导致未认证攻击者读取服务器上的任意文件。

利用该漏洞可暴露敏感数据,包括专有软件代码、用户凭据、令牌、文件和其它私密信息。这些前提说明该漏洞与 GitLab 如何管理或解决所附文件路径有关。然而,鉴于该漏洞的严重性以及披露的时效性,GitLab 并未透露更多详情。

GitLab 强调了立即应用最新安全更新的重要性。GitLab 在安全公告中提到,“我们强烈建议所有运行受如下这些漏洞影响版本的程序,尽快升级至最新版本。如未提到特定的部署版本,则意味着所有类型均受影响。”

一个缓解因素是,该漏洞仅可在特定条件下被触发,即当嵌入至少五个组的某个公开项目中存在附件时就会被触发,并非所有的 GitHub 项目都遵循这种结构。尽管如此,建议所有的 GitLab 16.0.0用户尽快升级至16.0.1。遗憾的是,目前并不存在缓解措施。

要更新 GitLab 版本,可遵循该项目的更新页面指南。对于 GitLab Runner 更新,可按照相关更新操作。

代码卫士试用地址:https://codesafe.qianxin.com

开源卫士试用地址:https://oss.qianxin.com

推荐阅读

奇安信入选全球《软件成分分析全景图》代表厂商

GitLab修复GitHub import函数中的RCE漏洞

GitLab 远程代码执行漏洞安全风险通告

GitLab 修复两个严重的远程代码执行漏洞

GitLab 修复严重的RCE漏洞

GitLab 企业版修复严重的账户接管漏洞

原文链接

https://www.bleepingcomputer.com/news/security/gitlab-strongly-recommends-patching-max-severity-flaw-asap/

题图:Pixabay License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

dba26a63d38fed090f875cbcb3e18db5.jpeg

9365fe96db463217925a1a02c5ad4c28.jpeg

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

   6a30b85661a8a33dfea1ae9d1ab79578.gif 觉得不错,就点个 “在看” 或 "赞” 吧~

奇安信代码卫士
关注
软件代码漏洞风险等级
oscar999的专栏
07-09 344
代码漏洞的风险等级通常根据漏洞的潜在影响、利用难易程度以及可能造成的损害程度来划分。不同的组织或机构可能会采用不同的标准或评分系统来评估漏洞的风险等级。
Gitlab无需认证RCE漏洞复现(CVE-2021-22205)
千寻的博客
11-15 4084
文章目录gitlab介绍漏洞介绍漏洞编号漏洞等级影响版本FOFA 查询环境搭建(vulhub环境搭建)漏洞复现第一步 漏洞检测第二步 dnslog解析第三步 服务器写入文件第三步 反弹shell修复建议免责声明摘抄 gitlab介绍 GitLab是美国GitLab公司的一款使用Ruby on Rails开发的、自托管的、Git(版本控制系统)项目仓库应用程序。 GitLab 是一个用于仓库管理系统的开源项目,使用 Git 作为代码管理工具,并在此基础上搭建起来的 Web服务。 漏洞介绍 由于 GitL
GitLab 揭露严重漏洞,提供补丁
weixin_33774615的博客
06-02 409
GitLab刚刚宣布修复一系列重要的安全问题,其中包括一个重要的权限提升。GitLab强烈建议所有安装了8.2以及后续版本的用户尽快升级。 GitLab发现了一个严重的漏洞,可以让任何验证的身份登录其他用户的账户,包括管理员账户。这个漏洞GitLab8.2版本中被发现,该漏洞提供了一个“冒充”的功能,可以让管理员冒充其他用户登录。 这个漏洞影响到了Gi...
Gitlab服务器切换来版本升级,执行漏洞修复
ShunGangHu
09-02 1866
由于GitLab13.5.5存在严重漏洞(CVE-2022-2884),现在需要升级到安全版本,但是现在服务器(正在使用的,以后都称老服务器)系统是redhat6,已不支持要升级到的版本,只能新建服务器重新安装GitLab,再按从小到大的版本依次升级。 注意:高版本的Gitlab无法导入低版本备份的数据,因此需要在新服务器部署安装和老服务器一样版本的gitlab,部署好环境后开始备份和数据导入。
漏洞复现】4. Gitlab exiftool远程命令执行漏洞(CVE-2021-22205)复现与分析
Zichel77的博客
03-21 1363
Gitlab是由Gitlab Inc.开发,基于网络的GIt仓库管理工具,且具有wiki和issue跟踪功能,使用Git作为代码管理工具,并在此基础上搭建起来的Web服务,通过Web界面进行访问公开的或私人的项目。2021年4月5日,GitLab官方发布安全更新修复了此GitLab命令执行漏洞(CVE-2021-22205)。
GitLab 严重漏洞可导致攻击者窃取runner 注册令牌
smellycat000的专栏
03-02 3546
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士GitLab Community 和 Enterprise Edition 均受严重漏洞 (CVE-2022-0735) 影响,它可导致...
GitLab 高危漏洞可导致账号遭接管
最新发布
smellycat000的专栏
05-24 316
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士GitLab 修复了一个高危漏洞,它可导致未认证攻击者在跨站点脚本攻击中接管用户账户。该漏洞的编号是CVE-2024-4835,是位于VS 代码编辑器 (Web IDE)中的一个XSS弱点,可导致威胁行动者使用恶意构造的页面窃取受限制的信息。虽然攻击者可在无需认证的攻击中利用该漏洞,但仍然需要用户交互,因此增加了攻击的复杂性。GitLab 指出,...
CVSS2-Calculator:CVSSv2.js 是一个免费开源的 Javascript 库,基于通用漏洞评分系统 (CVSS) 2.0 版计算器,更易于共享和部署
06-11
CVSSv2.js 是一个免费的开源 Javascript 库,它基于通用漏洞评分系统 (CVSS) 2.0 版计算器,该计算器基于但更易于共享和部署。 CVSS2 算法如何工作? 通用漏洞评分系统 ( CVSS ) 是一种免费且开放的行业标准,用于...
安全漏洞评分系统CVSS
09-28
CVSS通过一系列量度(Metrics)为漏洞提供0到10的分数,帮助安全专家和企业理解漏洞的潜在危害程度,以便优先处理修复。10分代表最高级别的威胁,而0分则表示威胁相对较小。 **CVSS的指标构成** 1. **基准指标**...
安全漏洞相关概念(CVE,CNA, CWE,CVSS,OWASP)
oscar999的专栏
10-04 3764
* CVE给发现的漏洞编号 (事后补救), CWE 旨在通过对所有已识别的缺陷和暴露进行分类(事前预防) * CVSS 用来给发现的漏洞一个严重等级的评分 * OWASP 和 CWE 每年会发布一个排名靠前的漏洞的列表。
GitLab 修复两个严重的远程代码执行漏洞
smellycat000的专栏
08-24 424
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士DevOps 平台 GitLab 修复了位于 GitLab社区版和企业版发布中的两个远程代码执行漏洞 (CVE-2022-2884)。该漏洞CVSS评分为9.9,可通过GitHub import API被利用,不过首先需要触发认证。GitLab 在安全公告中指出,“GitLab 社区版/企业版中存在一个漏洞,影响自11.3.4起至15.1.5(...
Java代码审计之目录遍历漏洞详解
m0_71745754的博客
01-13 6915
通过用户输入,后端接收到参数直接拼接到指定路径下读取用户的文件名,看似正常,但是用户输入的参数不可控制,黑客将非法的特殊字符作为文件名的一部分,操作到其他路径下,甚至是跳转到服务器敏感目录,读取敏感的配置文件,例如服务器的密码文件,程序数据库,redis等核心配置文件,因此具有一定的风险;
关于gitlab13.12.15升级到16.0.0的记录
sanzhi123的博客
01-05 1605
记录gitlab停机升级
Gitlab(1)-Linux安装
一叶知秋
01-31 2956
配置要求 官方要求至少搭建Gitlab的服务器要求至少4GB的可用内存,所以至少预留4GB的可用空间,但是我是自己耍着玩,所以云服务器一共只有4GB,虽然还有一些其他的应用,但是问题不大。 开始安装 1、更新linux软件源 sudo apt-get update 2、安装依赖 sudo apt-get install curl openssh-server ca-certificates postfix 这里是要选择安装的配置,直接回车进入配置项。 选择internet site即网站。 然后填
通用漏洞评估方法CVSS3.0详解
热门推荐
u013904410的博客
10-28 3万+
CVSS(Common Vulerability Scoring System, 通用漏洞评估方法),是由NIAC 发布、FITST维护的开放式行业标准,CVSS 的发布为信息安全产业从业人员交流网络中所存在的系统漏洞的特点与影响提供了一个开放式的评价方法。 1.度量(Metrics) CVSS3.0由三个基本尺度组成, 基本(Base):代表着漏洞的原始属性,不受时间与环境的影响,又由Ex...
GitLab 修复严重的RCE漏洞
smellycat000的专栏
07-04 670
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士GitLab 修复了一个严重漏洞,可导致攻击者远程执行代码。该漏洞的编号是CVE-2022-2185。该漏洞的等级为“严重”,出现在GitLab的所有版本中:14.10.5之前的14.0版本、15.0.4之前的15.0版本以及15.1.1之前的15.1版本。GitLab 在一份安全公告中指出,认证用户可导入恶意构造的项目...
GitLab之Nginx漏洞修复方案
Quincy.Coder的博客
06-01 581
1、需求:nginx的resolver模块漏洞,涉及nginx版本0.60-1.20 2、解决方案: 替换gitlab自带的nginx,方案比较复杂,会出现较多问题 在gtilab外用nginx最新版再负载一层,这个方案不需要修改很多gitlab原有的配置,被暂时采用 3、具体实践: 下载最新版nginx(传送门->):nginx下载 安装nginx: tar -xzvf nginx-1.21.0.tar.gz cd nginx-1.21.0 ./configure --prefix
gitlab远程漏洞版本升级修复
qq_41411704的博客
11-05 1177
一【华为云远程漏洞预警通知】 一、概要 近日,华为云关注到Gitlab官方在2021年4月14日发布的安全更新公告中披露的Gitlab远程命令执行漏洞(CVE-2021-22205)在互联网上已出现在野攻击利用。由于Gitlab没有正确验证传递给解析器的图像文件,攻击者利用漏洞上传专门制作的图像文件可导致执行远程代码执行,目前漏洞POC已公开,风险较高。 GitLab 是一款基于 Git 的完全集成的软件开发平台。华为云提醒使用GitLab的用户尽快安排自检并做好安全加固。 参考链接:https://abo
GitLab 发布安全修复版本 11.9.7, 11.8.7 和 11.7.11
weixin_33873846的博客
04-11 116
GitLab 为社区版和企业版发布了最新的 11.9.7, 11.8.7 和 11.7.11 版本。官方表示主要是为了修复企业版本中的重要安全问题,虽然社区版不受影响,但为了保持版本号一...
CVSS3.0详解:公开漏洞评估框架与严重性评分指南
时间度量关注漏洞随时间变化的特性,如修复可用性(Robustness, R)、漏洞曝光率(Availability Exploit Code, AEC)以及补丁发布日期(Vulnerability Publication Date, VPD)。这有助于了解漏洞在何时可能变得更为严重或...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值