GitLab发布了17.5.2、17.4.4和17.3.7版本的安全更新，修复了包括一个高严重性Kubernetes漏洞在内的六个安全漏洞。该漏洞（CVE-2024-9693）可能导致未经授权访问Kubernetes集群，属于高严重性问题（CVSS 8.5）。此外，更新还修复了设备OAuth流量漏洞、拒绝服务漏洞、存储XSS漏洞、HTML注入漏洞和信息披露漏洞等问题。GitLab强烈建议所有用户尽快升级到最新版本以确保安全。

⚠️ **高严重性Kubernetes漏洞 (CVE-2024-9693)：** 该漏洞可能允许在特定配置下未经授权访问Kubernetes集群中的代理，属于高严重性问题（CVSS 8.5），由GitLab团队成员Tiger Watson发现。

🛡️ **设备OAuth流量漏洞 (CVE-2024-7404)：** 攻击者可能利用该漏洞以受害者身份获得完整的API访问权限，造成严重安全威胁。

🚨 **其他漏洞修复：** 包括拒绝服务漏洞（使用Fogbugz导入器导入恶意内容可能触发）、存储XSS漏洞（攻击者可通过特制URL注入恶意JavaScript代码）、HTML注入漏洞（不正确的输出编码可能导致XSS攻击）以及信息披露漏洞（未经身份验证的用户可能读取私有项目中的合并请求信息）。

🚀 **GitLab建议：** 敦促所有用户立即将其自主管理安装升级到最新版本（17.5.2、17.4.4或17.3.7），以修复这些安全漏洞并确保系统安全。

GitLab 发布了一个关键安全更新，解决了一个可能导致未经授权访问 Kubernetes 集群的高严重性漏洞。社区版（CE）和企业版（EE）的 17.5.2、17.4.4 和 17.3.7 版共修补了六个安全漏洞，包括关键的 Kubernetes 问题和其他几个中等严重性的漏洞。

最严重的漏洞（CVE-2024-9693）允许在特定配置下未经授权访问集群中的 Kubernetes 代理。GitLab 安全公告警告说：“这是一个高严重性问题（CVSS 8.5）。该漏洞是由 GitLab 团队成员 Tiger Watson 在内部发现的。”

除了 Kubernetes 漏洞，GitLab 还修补了其他几个漏洞，包括

设备 OAuth 流量漏洞 (CVE-2024-7404)： 该漏洞可让攻击者以受害者身份获得完整的 API 访问权限。拒绝服务 (DoS) 漏洞： 使用 Fogbugz 导入器导入恶意制作的内容可能会触发拒绝服务。存储 XSS 漏洞 (CVE-2024-8648)： 攻击者可通过特制 URL 向分析仪表板注入恶意 JavaScript 代码。HTML 注入漏洞 (CVE-2024-8180)： 如果未启用内容安全策略 (CSP)，不正确的输出编码可能导致跨站点脚本 (XSS) 攻击。信息披露漏洞 (CVE-2024-10240)： 未经身份验证的用户可能会在特定情况下读取私有项目中的合并请求信息。
GitLab 敦促所有用户立即将其自主管理安装升级到最新版本。

“我们强烈建议所有运行受下述问题影响的版本的安装程序尽快升级到最新版本。”

 

 

---

转自安全客，原文链接：https://www.anquanke.com/post/id/301813

封面来源于网络，如有侵权请联系删除