GitLab publikuje aktualizacje dla swoich produktów. (P23-267)

cert.pse-online.pl 1 rok temu
ProduktGitLab Community Edition (CE) – wiele wersji
GitLab Enterprise Edition (EE) – wiele wersji
Numer CVECVE-2023-5207
Krytyczność8,2/10
CVSSAV:N/AC:H/PR:L/UI:N/S:C/C:H/I:H/A:N
OpisW GitLab CE i EE wykryto lukę, która dotyczy wszystkich wersji, począwszy od 16.0 przed 16.2.8, 16.3 przed 16.3.5 i 16.4 przed 16.4.1. Uwierzytelniony atakujący może wykonać dowolne wykonanie potoku w kontekście innego użytkownika.
Numer CVECVE-2023-5106
Krytyczność8,2/10
CVSSAV:N/AC:H/PR:L/UI:N/S:C/C:H/I:H/A:N
OpisW GitLab EE z licencją Ultimate wykryto dwa problemy, wpływające na wszystkie wersje, począwszy od 13.12 przed 16.2.8, 16.3.0 przed 16.3.5 i 16.4.0 przed 16.4.1, które mogą umożliwić osobie atakującej podszywanie się pod użytkowników w CI rurociągów poprzez bezpośredni import grupowy przesyłu.
Numer CVECVE-2023-4379
Krytyczność8,1/10
CVSSAV:N/AC:L/PR:H/UI:R/S:C/C:H/I:H/A:N
OpisW GitLab EE wykryto problem dotyczący wszystkich wersji, począwszy od 15.3 przed 16.2.8, 16.3 przed 16.3.5 i 16.4 przed 16.4.1. Zatwierdzenie właściciela kodu nie zostało usunięte z żądań scalania, gdy zaktualizowano gałąź docelową.
Numer CVECVE-2023-3413
Krytyczność6,5/10
CVSSAV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N
OpisW GitLab wykryto problem wpływający na wszystkie wersje począwszy od 16.2 przed 16.2.8, wszystkie wersje począwszy od 16.3 przed 16.3.5, wszystkie wersje począwszy od 16.4 przed 16.4.1. Możliwe było, iż nieuprawniony użytkownik rozwidli projekt publiczny.
Numer CVECVE-2023-5332
Krytyczność5,9/10
CVSSAV:N/AC:H/PR:H/UI:N/S:U/C:H/I:H/A:N
OpisŁatka w bibliotece innej firmy Consul wymaga ustawienia opcji „enable-script-checks” na wartość False. Dotyczy to tylko GitLab-EE.
Numer CVECVE-2023-3914
Krytyczność5,4/10
CVSSAV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N
OpisBłąd logiki biznesowej w GitLab EE występujący we wszystkich wersjach wcześniejszych niż 16.2.8, 16.3 wcześniejszych niż 16.3.5 i 16.4 wcześniejszych niż 16.4.1 umożliwia dostęp do projektów wewnętrznych. Konto usługi nie jest usuwane w przypadku usunięcia przestrzeni nazw, co umożliwia dostęp do projektów wewnętrznych.
Numer CVECVE-2023-3115
Krytyczność5,4/10
CVSSAV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N
OpisW GitLab EE wykryto problem wpływający na wszystkie wersje, wpływający na wszystkie wersje od 11.11 do 16.2.8, 16.3 przed 16.3.5 i 16.4 przed 16.4.1. Ograniczenia dotyczące pojedynczego logowania nie zostały prawidłowo wyegzekwowane w przypadku pośrednich członków projektu uzyskujących dostęp do publicznych repozytoriów projektów przeznaczonych tylko dla członków.
AktualizacjaTAK
Linkhttps://about.gitlab.com/releases/2023/09/28/security-release-gitlab-16-4-1-released/#attacker-can-add-other-projects-policy-bot-as-member-to-their-own-project-and-use-that-bot-to-trigger-pipelines-in-victims-project
Idź do oryginalnego materiału