流行的 DevOps 平台 GitLab 发布了一个补丁更新,解决了影响其导入功能和其他核心功能的几个安全漏洞。版本 17.7.1、17.6.3 和 17.5.5 现可立即下载和升级。
此次发布的补丁是针对通过 GitLab 的 HackerOne 漏洞悬赏计划发现的漏洞。
影响导入功能的漏洞
在 GitLab 的导入功能中发现了一系列漏洞(CVE-2024-5655、CVE-2024-6385、CVE-2024-6678、CVE-2024-8970),可能允许攻击者利用该系统。GitLab 已重新设计了用户贡献映射功能,以解决这些问题。
“为了解决这些漏洞并进一步增强安全性,GitLab 重新设计了导入程序的用户贡献映射功能。”
导入功能的主要变化:
- 导入后映射: 这项新功能允许管理员在导入过程完成后将导入的贡献和会员资格分配给用户,从而增强了控制和安全性。
- 独立于电子邮件的映射: 更新后的映射过程不再依赖电子邮件地址,在从不同电子邮件域的实例导入时提供了更大的灵活性和安全性。
- 用户控制: 目标实例上的用户现在有权接受或拒绝已分配的贡献,从而增加了另一层安全性并防止未经授权的访问。
其他安全修复:
除导入功能外,补丁发布还解决了其他关键漏洞,包括:
- GitLab 日志中可能暴露的访问令牌 (CVE-2025-0194): 该漏洞可能会在某些条件下暴露访问令牌,从而可能导致未经授权的访问。
- 史诗的循环引用导致资源耗尽 (CVE-2024-6324): 攻击者可能利用此漏洞,通过在史诗之间创建循环引用来触发拒绝服务 (DoS) 攻击。
- 未经授权操纵公共项目中的问题状态 (CVE-2024-12431): 该漏洞允许未经授权的用户篡改公共项目中的问题状态,从而可能扰乱工作流程并破坏数据完整性。
- 实例 SAML 旁路 (CVE-2024-13041): 实例 SAML 配置中的一个漏洞可允许用户绕过外部提供商设置,从而可能允许未经授权的用户访问内部项目或组。
建议采取的行动:
GitLab 强烈建议所有自行管理的 GitLab 安装立即升级到其中一个已打补丁的版本。
GitLab 在其安全公告中呼吁:“我们强烈建议所有运行受下述问题影响的版本的安装程序尽快升级到最新版本。”
此外,GitLab 还建议在升级完成前禁用导入程序,或在必要时在导入过程中暂时启用导入程序。
1.本站内容仅供参考,不作为任何法律依据。用户在使用本站内容时,应自行判断其真实性、准确性和完整性,并承担相应风险。
2.本站部分内容来源于互联网,仅用于交流学习研究知识,若侵犯了您的合法权益,请及时邮件或站内私信与本站联系,我们将尽快予以处理。
3.本文采用知识共享 署名4.0国际许可协议 [BY-NC-SA] 进行授权
4.根据《计算机软件保护条例》第十七条规定“为了学习和研究软件内含的设计思想和原理,通过安装、显示、传输或者存储软件等方式使用软件的,可以不经软件著作权人许可,不向其支付报酬。”您需知晓本站所有内容资源均来源于网络,仅供用户交流学习与研究使用,版权归属原版权方所有,版权争议与本站无关,用户本人下载后不能用作商业或非法用途,需在24个小时之内从您的电脑中彻底删除上述内容,否则后果均由用户承担责任;如果您访问和下载此文件,表示您同意只将此文件用于参考、学习而非其他用途,否则一切后果请您自行承担,如果您喜欢该程序,请支持正版软件,购买注册,得到更好的正版服务。
5.本站是非经营性个人站点,所有软件信息均来自网络,所有资源仅供学习参考研究目的,并不贩卖软件,不存在任何商业目的及用途
暂无评论内容