其他
GitLab 修复两个严重的远程代码执行漏洞
编译:代码卫士
该漏洞的CVSS评分为9.9,可通过GitHub import API被利用,不过首先需要触发认证。GitLab 在安全公告中指出,“GitLab 社区版/企业版中存在一个漏洞,影响自11.3.4起至15.1.5(不含)的所有版本、自15.2至15.2.3(不含)的所有版本以及自15.3起至15.3.1(不含)的所有版本,可导致认证用户通过GitHub API 端点的 Import 实现远程代码执行。”
该公司指出,“我们强烈建议所有运行受影响版本的程序尽快升级至最新版本。”如无法立即升级,则通过设置目录中的“可见性和访问控制”标签禁用 GitHub import 功能(使用管理员账户)。
GitLab 社区版和企业版15.3.1、15.2.3和15.1.5中已包含补丁。GitLab并未提到该漏洞是否已遭在野利用。
GitLab 15.3还增加了其它安全增强功能,如可和最短密码长度一起选择定义密码复杂度,为所有受保护分支增加批准规则,以及对新访问令牌的安全默认设置。
GitLab 企业版修复严重的账户接管漏洞
研究员发现针对 GitLab CI 管道的供应链攻击
GitLab 严重漏洞可用于接管用户账户
GitLab 严重漏洞可导致攻击者窃取runner 注册令牌
https://www.securityweek.com/gitlab-patches-critical-remote-code-execution-vulnerability
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。