GitLab 發(fā)布安全更新修復(fù)竊取信息漏洞，敦促用戶盡快安裝

IT之家 9 月 20 日消息，GitLab 近日發(fā)布了安全更新，修復(fù)了一個(gè)“關(guān)鍵”級(jí)別的高危漏洞，，并敦促用戶盡快升級(jí)。據(jù)悉 GitLab 社區(qū)版（CE）和企業(yè)版（EE），從 13.12 到 16.2.7 此前版本、16.3.4 此前的 16.3 版本均受影響。

這個(gè)漏洞由安全研究人員和漏洞獵人 Johan Carlsson 發(fā)現(xiàn)，最初是一個(gè)中等嚴(yán)重的漏洞，追蹤編號(hào)為 CVE-2023-3932，官方于 8 月進(jìn)行修復(fù)。

不過(guò)研究人員發(fā)現(xiàn)了新的方法了繞過(guò)保護(hù)，并驗(yàn)證了可以施加額外的影響，最新追蹤編號(hào)為 CVE-2023-4998，在 CVSS 3.1 版本中得分為 9.6 分（滿分 10 分，分?jǐn)?shù)越高越危險(xiǎn)）。

攻擊者在用戶不知情且沒(méi)有權(quán)限的情況下，冒充用戶進(jìn)行管道任務(wù)（一系列自動(dòng)化任務(wù)），從而獲取敏感信息，或者冒充用戶的權(quán)限來(lái)運(yùn)行代碼、修改數(shù)據(jù)或觸發(fā) GitLab 系統(tǒng)中的特定事件。

GitLab 社區(qū)和企業(yè)版 16.3.4 和 16.2.7 版本目前已經(jīng)修復(fù) CVE-2023-4998 漏洞，GitLab 敦促用戶盡快升級(jí)。

16.3.4

• Use new indexer, fix removing blobs from index

16.2.7

IT之家注：GitLab 是一個(gè)開(kāi)源的版本控制和項(xiàng)目管理工具，其分為兩個(gè)版本：社區(qū)版和企業(yè)版。

社區(qū)版是免費(fèi)的，可以在自己的服務(wù)器上部署。它提供了一些基本的版本控制和項(xiàng)目管理功能，如源代碼管理、問(wèn)題跟蹤、代碼評(píng)審、持續(xù)集成和部署等。

企業(yè)版是收費(fèi)的，需要在 GitLab 官方服務(wù)器上部署。它比社區(qū)版提供了更多的高級(jí)功能，如高級(jí)安全性、更方便的管理、內(nèi)部代碼庫(kù)、更多的管理選項(xiàng)和報(bào)告等。

廣告聲明：文內(nèi)含有的對(duì)外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時(shí)間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。