GitLab publikuje aktualizacje dla swoich produktów. (P23-192)

cert.pse-online.pl 9 miesięcy temu
ProduktGitLab Community Edition (CE) – wiele wersji
GitLab Enterprise Edition (EE) – wiele wersji
Numer CVECVE-2023-3994
Krytyczność7,5/10
CVSSAV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
OpisW GitLab CE/EE wykryto problem dotyczący wszystkich wersji od 9.3 do 16.0.8, wszystkich wersji od 16.1 do 16.1.3, wszystkich wersji od 16.2 do 16.2.2. Odmowa usługi wyrażeń regularnych była możliwa poprzez wysłanie spreparowanych ładunków, które używają ProjectReferenceFilter do punktu końcowego Preview_markdown.
Numer CVECVE-2023-3364
Krytyczność7,5/10
CVSSAV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
OpisW GitLab CE/EE wykryto problem dotyczący wszystkich wersji od 8.14 do 16.0.8, wszystkich wersji od 16.1 do 16.1.3, wszystkich wersji od 16.2 do 16.2.2. Odmowa usługi wyrażeń regularnych była możliwa poprzez wysłanie spreparowanych ładunków, które używają AutolinkFilter do punktu końcowego Preview_markdown.
Numer CVECVE-2023-0632
Krytyczność6,5/10
CVSSAV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H
OpisW GitLab CE/EE wykryto problem dotyczący wszystkich wersji począwszy od 15.2 do 16.0.8, wszystkich wersji począwszy od 16.1 do 16.1.3, wszystkich wersji począwszy od 16.2 do 16.2.2. Odmowa usługi wyrażeń regularnych była możliwa dzięki użyciu spreparowanych ładunków do przeszukiwania rejestru portowego.
Numer CVECVE-2023-3385
Krytyczność6,3/10
CVSSAV:N/AC:H/PR:L/UI:N/S:C/C:H/I:N/A:N
OpisW GitLab CE/EE wykryto problem dotyczący wszystkich wersji od 8.10 do 16.0.8, wszystkich wersji od 16.1 do 16.1.3, wszystkich wersji od 16.2 do 16.2.2. W określonych okolicznościach użytkownik importujący projekt „z eksportu” może uzyskiwać dostęp do niepowiązanych plików i czytać je, przesyłając specjalnie spreparowany plik. Było to spowodowane błędem w tar, naprawionym w tar-1.35.
Numer CVECVE-2023-2164
Krytyczność5,4/10
CVSSAV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N
OpisW GitLab CE/EE wykryto problem dotyczący wszystkich wersji od 15.9 do 16.0.8, wszystkich wersji od 16.1 do 16.1.3, wszystkich wersji od 16.2 do 16.2.2. Osoba atakująca mogła uruchomić zapisaną lukę w zabezpieczeniach XSS poprzez interakcję użytkownika ze spreparowanym adresem URL w wersji beta WebIDE.
Numer CVECVE-2023-4002
Krytyczność5,3/10
CVSSAV:N/AC:H/PR:L/UI:N/S:U/C:H/I:N/A:N
OpisW GitLab EE wykryto problem dotyczący wszystkich wersji od 14.1 do 16.0.8, wszystkich wersji od 16.1 do 16.1.3, wszystkich wersji od 16.2 do 16.2.2. Użytkownicy z licencją EE mogli połączyć dowolny projekt polityki bezpieczeństwa dzięki jego identyfikatora z projektami lub grupami, do których użytkownik ma dostęp, potencjalnie ujawniając skonfigurowane zasady bezpieczeństwa projektów bezpieczeństwa.
Numer CVECVE-2023-4008
Krytyczność5,0/10
CVSSAV:N/AC:L/PR:L/UI:N/S:C/C:L/I:N/A:N
OpisW GitLab CE/EE wykryto problem dotyczący wszystkich wersji od 15.9 do 16.0.8, wszystkich wersji od 16.1 do 16.1.3, wszystkich wersji od 16.2 do 16.2.2. Możliwe było przejęcie stron GitLab z unikalnymi adresami URL domen, jeżeli znany był dodany losowy ciąg znaków.
Numer CVECVE-2023-3993
Krytyczność4,9/10
CVSSAV:N/AC:L/PR:H/UI:N/S:U/C:H/I:N/A:N
OpisW GitLab EE wykryto problem dotyczący wszystkich wersji od 14.3 do 16.0.8, wszystkich wersji od 16.1 do 16.1.3, wszystkich wersji od 16.2 do 16.2.2. Tokeny dostępu mogły zostać zarejestrowane, gdy wysłano zapytanie do określonego punktu końcowego.
Numer CVECVE-2023-3500
Krytyczność4,8/10
CVSSAV:N/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:N
OpisW GitLab CE/EE wykryto problem dotyczący wszystkich wersji od 10.0 do 16.0.8, wszystkich wersji od 16.1 do 16.1.3, wszystkich wersji od 16.2 do 16.2.2. Odzwierciedlony XSS był możliwy podczas tworzenia określonych diagramów PlantUML, które pozwalały atakującemu na wykonywanie dowolnych działań w imieniu ofiar.
Numer CVECVE-2023-3401
Krytyczność4,8/10
CVSSAV:N/AC:H/PR:L/UI:R/S:U/C:N/I:H/A:N
OpisW GitLab wykryto problem dotyczący wszystkich wersji wcześniejszych niż 16.0.8, wszystkich wersji rozpoczynających się od 16.1 do 16.1.3, wszystkich wersji rozpoczynających się od 16.2 do 16.2.2. Główna gałąź repozytorium o specjalnie zaprojektowanej nazwie umożliwia atakującemu tworzenie repozytoriów ze złośliwym kodem.
AktualziacjaTAK
Linkhttps://about.gitlab.com/releases/2023/08/01/security-release-gitlab-16-2-2-released/
Idź do oryginalnego materiału
  1. Strona główna
  2. Podatności i biuletyny
  3. GitLab publikuje aktualizacje dla swoich produktów. (P23-192)

Powiązane

Ile Nm klucz do warsztatu?

Ile Nm klucz do warsztatu?

1 dzień temu
Jakie koło dojazdowe do ford s max?

Jakie koło dojazdowe do ford s max?

1 dzień temu
Tajna funkcja w Windows 10 i 11: Praktyczna funkcja jest ignorowana przez prawie wszystkich

Tajna funkcja w Windows 10 i 11: Praktyczna funkcja jest ign...

1 tydzień temu
Duże zmiany w sklepie Play. Google wprowadza weryfikację biometryczną

Duże zmiany w sklepie Play. Google wprowadza weryfikację bio...

2 tygodni temu
RCE w D-Link NAS. Poprawek nie będzie

RCE w D-Link NAS. Poprawek nie będzie

3 tygodni temu
Tysiące odkrytych podatności w 2023 r. „W Polsce jest bardzo źle”

Tysiące odkrytych podatności w 2023 r. „W Polsce jest bardzo...

3 tygodni temu
GlobalProtect VPN. Mamy stanowiska uczelni i Palo Alto

GlobalProtect VPN. Mamy stanowiska uczelni i Palo Alto

3 tygodni temu
Poznań Security Meetup #2 2024 – rozkręcamy się

Poznań Security Meetup #2 2024 – rozkręcamy się

3 tygodni temu
Nowe zero-daye w firewallach Palo Alto i Microsoftu. Łatajcie!

Nowe zero-daye w firewallach Palo Alto i Microsoftu. Łatajci...

3 tygodni temu