Gitlab 在不到一周的時間內遭遇第二個安全問題
不到一周的時間 Gitlab 開發人員不得不開始工作, 好吧,幾天前,GitLab 協作開發平台 15.3.1、15.2.3 和 15.1.5 的更正更新發布,解決了一個嚴重漏洞。
列於 CVE-2022-2884,此漏洞可能允許經過身份驗證的用戶訪問 GitHub 導入 API 在服務器上遠程運行代碼。 尚未公佈任何操作細節。 該漏洞由安全研究人員確定為 HackerOne 漏洞賞金計劃的一部分。
作為一種解決方法,建議管理員禁用從 GitHub 導入功能(在 GitLab Web 界面中:“菜單”->“管理員”->“設置”->“常規”->“可見性和訪問控制»-> «導入源» -> 禁用 «GitHub»)。
在那之後不到一周的時間 GitLab 我發布下一系列更正更新 他們的協作開發平台:15.3.2、15.2.4 和 15.1.6,修復了第二個嚴重漏洞。
列於 CVE-2022-2992,此漏洞允許經過身份驗證的用戶執行代碼 遠程在服務器上。 與一周前修復的 CVE-2022-2884 漏洞一樣,從 GitHub 服務導入數據存在新的 API 問題。 該漏洞在版本 15.3.1、15.2.3 和 15.1.5 中表現出來,其中修復了從 GitHub 導入代碼中的第一個漏洞。
尚未公佈任何操作細節。 該漏洞作為 HackerOne 漏洞賞金計劃的一部分提交給 GitLab,但與上一期不同的是,它是由另一位貢獻者發現的。
作為一種解決方法,建議管理員禁用從 GitHub 導入功能(在 GitLab Web 界面中:“菜單”->“管理”->“設置”->“常規”->“可見性和訪問控制»-> «導入源» -> 禁用 «GitHub»)。
另外, 提議的更新修復了另外 14 個漏洞,其中兩個標記為危險,十個具有中等嚴重級別,兩個標記為不危險。
以下被認為是危險的: 脆弱性 CVE-2022-2865,允許您添加自己的 JavaScript 代碼 通過顏色標籤的操作顯示給其他用戶的頁面,
可以通過配置標籤顏色功能來利用漏洞,該功能可能導致存儲的 XSS 允許攻擊者在客戶端代表受害者執行任意操作。
新系列更正解決的另一個漏洞是 CVE-2022-2527,可以通過描述字段替換其內容 在事件規模時間線上)。 中等嚴重性漏洞主要與潛在的拒絕服務有關。
GitLab CE/EE 中的片段描述缺乏長度驗證,影響 15.1.6 之前的所有版本、15.2 之前的 15.2.4 的所有版本、15.3 之前的 15.3.2 的所有版本允許經過身份驗證的攻擊者創建惡意的大片段無論是否請求身份驗證,都會導致服務器負載過大,可能導致拒絕服務。
其他漏洞 已解決:
- 數據包註冊表不完全遵守該組的 IP 允許列表,當配置 IP 地址限制時,GitLab 未正確對某些包註冊表進行身份驗證,從而允許已經擁有有效部署令牌的攻擊者從任何位置濫用它。
- 濫用 Gitaly.GetTreeEntries 調用會導致拒絕服務,允許經過身份驗證和授權的用戶通過導入惡意項目來耗盡服務器資源。
- .ipynb Notebook 中可能帶有惡意表單標籤的任意 HTTP 請求,允許攻擊者發出任意 HTTP 請求。
- 通過精心設計的輸入進行的正則表達式拒絕服務允許攻擊者通過添加到確認消息字段的精心設計的輸入來觸發高 CPU 使用率。
- 通過事件時間線事件中表示的任意 GFM 引用進行信息披露
- 通過 LivePreview 功能讀取存儲庫內容:如果項目成員使用精心製作的鏈接,未經授權的用戶可能會讀取存儲庫內容。
- 創建分支時通過 API 拒絕服務:在創建分支時不正確的數據處理可能已被用於觸發高 CPU 使用率。
- 通過問題預覽拒絕服務
最後,如果你有興趣了解更多,可以諮詢詳情 在下面的鏈接中。