GitLab 发布了关键安全更新,以解决影响其社区版 (CE) 和企业版 (EE) 产品的多个漏洞。17.6.1、17.5.3 和 17.4.5 版本包含重要的漏洞和安全修复,包括针对高严重性权限升级漏洞的补丁。GitLab 在其安全公告中说:“我们强烈建议所有运行受下述问题影响的版本的系统尽快升级到最新版本。”最严重的漏洞被认定为 CVE-2024-8114,攻击者如果访问了受害者的个人访问令牌(PAT),就可以提升权限。该漏洞的 CVSSv3 得分为 8.2,影响 8.12(17.4.5 之前)、17.5(17.5.3 之前)和 17.6(17.6.1 之前)的所有 GitLab 版本。该版本解决的其他漏洞包括:拒绝服务 (DoS) 漏洞: 已修补多个 DoS 漏洞,包括一个可通过查看恶意制作的 cargo.toml 文件触发的漏洞 (CVE-2024-8237),以及另一个与 Harbor 注册表集成相关的漏洞 (CVE-2024-8177)。意外访问使用数据: 一个可能允许通过作用域令牌未经授权访问敏感数据的漏洞 (CVE-2024-11669) 已得到缓解。资源耗尽和拒绝服务: 已解决一个漏洞 (CVE-2024-11828),该漏洞可能允许攻击者通过发送伪造的 API 调用来创建 DoS 条件。流媒体端点漏洞: 已修补了一个漏洞 (CVE-2024-11668),该漏洞可允许长期连接绕过身份验证控制。GitLab 感谢安全研究人员 pwnie、l33thaxor、a92847865 和 luryus 通过 HackerOne 漏洞悬赏计划报告了其中一些漏洞。GitLab 内部团队成员 Dylan Griffith 和 Heinrich Lee Yu 也发现了漏洞。GitLab 敦促所有用户立即将其安装更新到最新版本,以降低这些安全风险。
