强烈建议修复!GitLab 曝“史上最大缺陷”漏洞
source link: https://www.51cto.com/article/755730.html
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
强烈建议修复!GitLab 曝“史上最大缺陷”漏洞
Bleeping Computer 网站披露,GitLab 发布了 16.0.1 版紧急安全更新,以解决被追踪为 CVE-2023-2825 的严重性(CVSS v3.1 评分:10.0)路径遍历漏洞。
GitLab 是一个基于网络的 Git 存储库,主要面向需要远程管理代码的开发团队,目前共拥有约 3000 万注册用户和 100 万付费客户。
一位名叫 pwnie 的安全研究员发现 CVE-2023-2825 漏洞,随后在 GitLab 的 HackOne 漏洞奖励计划中报告了这个问题。据悉,该漏洞影响 GitLab社区版(CE)和企业版(EE)的 16.0.0 版本,其它更早的版本几乎都不受影响。
CVE-2023-2825 漏洞详情
CVE-2023-2825 漏洞源于路径遍历问题,当一个附件存在于至少五个组内嵌套的公共项目中时,未经认证的攻击者可以在服务器上读取任意文件。利用 CVE-2023-2825 漏洞还可能会暴露包括专有软件代码、用户凭证、令牌、文件和其他私人信息在内的敏感数据。
以上的先决条件表明 CVE-2023-2825 漏洞问题与 GitLab 如何管理或解决嵌套在几级组层次结构中的附件文件的路径有关。然而由于问题的关键性和发现及时,GitLab 没有披露很多细节,但一再强调用户使用最新安全更新的重要性。
GitLab 在安全公告中表示,强烈建议所有运行受 CVE-2023-2825 漏洞影响版本的装置中尽快升级到最新版本。(当没有提到产品的具体部署类型(总括、源代码、舵手图等)时,意味着所有类型都受到影响。)
值得一提的是,CVE-2023-2825 漏洞只能在特定条件下才会触发,即当公共项目中有一个附件嵌套在至少五个组中时,好在这并不是所有 GitHub 项目遵循的结构。
尽管如此,GitHub 还是建议所有 GitLab 16.0.0 的用户尽快更新到 16.0.1 版本,以降低安全风险。
文章来源:https://www.bleepingcomputer.com/news/security/gitlab-strongly-recommends-patching-max-severity-flaw-asap/
Recommend
About Joyk
Aggregate valuable and interesting links.
Joyk means Joy of geeK