GitLab publikuje aktualizacje dla swoich produktów. (P23-139)

cert.pse-online.pl 1 rok temu
ProduktGitLab Community Edition (CE) – wersje wcześniejsze niż 16.1.1, 16.0.6 i 15.11.10
GitLab Enterprise Edition (EE) – wersje wcześniejsze niż 16.1.1, 16.0.6 i 15.11.10
Numer CVECVE-2023-3424
Krytyczność7,5/10
CVSSAV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
OpisW GitLab CE/EE wykryto problem dotyczący wszystkich wersji od 10.3 do 15.11.10, wszystkich wersji od 16.0 do 16.0.6, wszystkich wersji od 16.1 do 16.1.1. Odmowa usługi wyrażeń regularnych była możliwa poprzez wysłanie spreparowanych ładunków do punktu końcowego Preview_markdown.
Numer CVECVE-2023-2190
Krytyczność6,5/10
CVSSAV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N
OpisW GitLab CE/EE wykryto problem dotyczący wszystkich wersji począwszy od 13.10 do 15.11.10, wszystkich wersji począwszy od 16.0 do 16.0.6, wszystkich wersji począwszy od 16.1 do 16.1.1. Użytkownicy mogą przeglądać nowe zatwierdzenia do projektów prywatnych w rozwidleniu utworzonym, gdy projekt był publiczny.
Numer CVECVE-2023-3444
Krytyczność5,7/10
CVSSAV:N/AC:L/PR:L/UI:R/S:U/C:N/I:H/A:N
OpisW GitLab CE/EE wykryto problem dotyczący wszystkich wersji od 15.3 do 15.11.10, wszystkich wersji od 16.0 do 16.0.6, wszystkich wersji od 16.1 do 16.1.1, który umożliwia atakującemu połączenie dowolnego kodu w chronione gałęzie z powodu błędu zatwierdzania CODEOWNERS.
Numer CVECVE-2023-2620
Krytyczność5,5/10
CVSSAV:N/AC:L/PR:H/UI:N/S:C/C:L/I:L/A:N
OpisW GitLab CE/EE wykryto problem dotyczący wszystkich wersji począwszy od 15.1 przed 15.11.10, wszystkich wersji od 16.0 do 16.0.6, wszystkich wersji od 16.1 do 16.1.1. Opiekun może zmodyfikować adres URL elementu webhook, aby ujawnić zamaskowane tajne elementy elementu webhook, manipulując innymi zamaskowanymi częściami. To dotyczy niepełnej poprawki dla luki CVE-2023-0838.
Numer CVECVE-2023-3362
Krytyczność5,3/10
CVSSAV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N
OpisProblem z ujawnianiem informacji w GitLab CE/EE, który dotyczy wszystkich wersji od 16.0 do 16.0.6 i wersji 16.1.0, umożliwia nieuwierzytelnionym aktorom dostęp do informacji o błędach importu, jeżeli projekt został zaimportowany z GitHub.
Numer CVECVE-2023-3102
Krytyczność5,3/10
CVSSAV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N
OpisW GitLab EE wykryto problem wycieku wrażliwych informacji, który dotyczy wszystkich wersji począwszy od 16.0 do 16.0.6, wszystkich wersji począwszy od 16.1 do 16.1.1, co umożliwia dostęp do tytułów prywatnych wydań i wniosków o scalenie
Numer CVECVE-2023-2576
Krytyczność4,3/10
CVSSAV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N
OpisW GitLab CE/EE wykryto problem dotyczący wszystkich wersji od 13.7 do 15.11.10, wszystkich wersji od 16.0 do 16.0.6, wszystkich wersji od 16.1 do 16.1.1. Pozwoliło to deweloperowi usunąć reguły CODEOWNERS i połączyć się z chronioną gałęzią.
Numer CVECVE-2023-2200
Krytyczność4,1/10
CVSSAV:N/AC:L/PR:L/UI:R/S:C/C:N/I:L/A:N
OpisW GitLab CE/EE wykryto problem dotyczący wszystkich wersji od 7.14 do 15.11.10, wszystkich wersji od 16.0 do 16.0.6, wszystkich wersji od 16.1 do 16.1.1, który umożliwia atakującemu wstrzyknięcie kodu HTML do pole adresu e-mail
AktualizacjaTAK
Linkhttps://about.gitlab.com/releases/2023/06/29/security-release-gitlab-16-1-1-released/
Idź do oryginalnego materiału