Gitlab 在不到一周的时间内遇到了第二个安全问题
不到一周的时间 Gitlab 开发人员不得不开始工作, 好吧,几天前,GitLab 协作开发平台 15.3.1、15.2.3 和 15.1.5 的更正更新发布,解决了一个严重漏洞。
列于 CVE-2022-2884,此漏洞可能允许经过身份验证的用户访问 GitHub 导入 API 在服务器上远程运行代码。 尚未公布任何操作细节。 该漏洞由安全研究人员确定为 HackerOne 漏洞赏金计划的一部分。
作为一种解决方法,建议管理员禁用从 GitHub 导入功能(在 GitLab Web 界面中:“菜单”->“管理”->“设置”->“常规”->“可见性和访问控制»-> «导入源» -> 禁用 «GitHub»)。
在那之后不到一周的时间 GitLab 我发布下一系列更正更新 他们的协作开发平台:15.3.2、15.2.4 和 15.1.6,修复了第二个严重漏洞。
列于 CVE-2022-2992,此漏洞允许经过身份验证的用户执行代码 远程在服务器上。 与一周前修复的 CVE-2022-2884 漏洞一样,从 GitHub 服务导入数据存在新的 API 问题。 该漏洞在版本 15.3.1、15.2.3 和 15.1.5 中表现出来,其中修复了从 GitHub 导入代码中的第一个漏洞。
尚未公布任何操作细节。 该漏洞作为 HackerOne 漏洞赏金计划的一部分提交给 GitLab,但与上一期不同的是,它是由另一位贡献者发现的。
作为一种解决方法,建议管理员禁用从 GitHub 导入功能(在 GitLab Web 界面中:“菜单”->“管理”->“设置”->“常规”->“可见性和访问控制»-> «导入源» -> 禁用 «GitHub»)。
另外, 提议的更新修复了另外 14 个漏洞,其中两个标记为危险,十个具有中等严重级别,两个标记为不危险。
以下被认为是危险的: 脆弱性 CVE-2022-2865,允许您添加自己的 JavaScript 代码 通过颜色标签的操作显示给其他用户的页面,
可以通过配置标签颜色功能来利用漏洞,该功能可能导致存储的 XSS 允许攻击者在客户端代表受害者执行任意操作。
新系列更正解决的另一个漏洞是 CVE-2022-2527,可以通过描述字段替换其内容 在事件规模时间线上)。 中等严重性漏洞主要与潜在的拒绝服务有关。
GitLab CE/EE 中的片段描述缺乏长度验证,影响 15.1.6 之前的所有版本,15.2 之前的所有版本,15.2.4 之前的 15.3 的所有版本,允许经过身份验证的攻击者创建恶意的大片段无论是否请求身份验证,都会导致服务器负载过大,可能导致拒绝服务。
其他漏洞 已解决:
- 数据包注册表不完全遵守该组的 IP 允许列表,当配置 IP 地址限制时,GitLab 未正确对某些包注册表进行身份验证,从而允许已经拥有有效部署令牌的攻击者从任何位置滥用它。
- 滥用 Gitaly.GetTreeEntries 调用会导致拒绝服务,允许经过身份验证和授权的用户通过导入恶意项目来耗尽服务器资源。
- .ipynb Notebook 中可能带有恶意表单标签的任意 HTTP 请求,允许攻击者发出任意 HTTP 请求。
- 通过精心设计的输入进行的正则表达式拒绝服务允许攻击者通过添加到确认消息字段的精心设计的输入来触发高 CPU 使用率。
- 通过事件时间线事件中表示的任意 GFM 引用进行信息披露
- 通过 LivePreview 功能读取存储库内容:如果项目成员使用精心制作的链接,未经授权的用户可能会读取存储库内容。
- 创建分支时通过 API 拒绝服务:创建分支时不正确的数据处理可能已被用于触发高 CPU 使用率。
- 通过问题预览拒绝服务
最后,如果你有兴趣了解更多,可以咨询详情 在下面的链接中。