GitLab publikuje aktualizacje dla swoich produktów. (P24-314)

utworzone przez | wrz 30, 2024 | Aktualizacje

ProduktGitLab Community Edition (CE) – wersje wcześniejsze niż 4.1, 17.3.4, 17.2.8, 16.10.10, 16.9.11, 16.8.10, 16.7.10, 16.6.10, 16.5.10, 16.4.7, 16.3.9, 16.2.11, 16.1.8 and 16.0.10
GitLab Enterprise Edition (EE) – wersje wcześniejsze niż 17.4.1, 17.3.4, 17.2.8, 16.10.10, 16.9.11, 16.8.10, 16.7.10, 16.6.10, 16.5.10, 16.4.7, 16.3.9, 16.2.11, 16.1.8 and 16.0.10
Numer CVECVE-2024-4278
Krytyczność4.8/10
CVSSAV:N/AC:L/PR:H/UI:N/S:C/C:L/I:L/A:N/E:U/RL:O/RC:C
OpisLuka istnieje z powodu nadmiernego wyprowadzania danych przez aplikację. Zdalny administrator może edytować pewne ustawienie Dependency Proxy za pomocą żądania POST i uzyskać hasło Dependency Proxy.
  
Numer CVECVE-2024-4099
Krytyczność2.7/10
CVSSAV:N/AC:H/PR:N/UI:R/S:U/C:N/I:L/A:N/E:U/RL:O/RC:C
OpisLuka istnieje, ponieważ funkcja AI odczytuje nieoczyszczoną zawartość. Zdalny atakujący może ukryć natychmiastowe wstrzyknięcie.
  
Numer CVECVE-2024-8974
Krytyczność2.3/10
CVSSAV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C
OpisLuka istnieje, ponieważ odniesienie do projektu może zostać ujawnione w notatkach systemowych. Zdalny użytkownik może uzyskać nieautoryzowany dostęp do poufnych informacji w systemie.
  
Numer CVECVE-2024-45409
Krytyczność9.8/10
CVSSAV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
OpisBiblioteka Ruby SAML służy do implementacji strony klienta autoryzacji SAML. Ruby-SAML w <= 12.2 i 1.13.0 <= 1.16.0 nie weryfikuje prawidłowo podpisu odpowiedzi SAML. Nieuwierzytelniony atakujący z dostępem do dowolnego podpisanego dokumentu SAML (przez IdP) może zatem sfałszować odpowiedź/potwierdzenie SAML o dowolnej zawartości. Pozwoliłoby to atakującemu zalogować się jako dowolny użytkownik w podatnym systemie.
  
AktualizacjaTAK
Linkhttps://about.gitlab.com/releases/2024/09/25/patch-release-gitlab-17-4-1-released/ https://about.gitlab.com/releases/2024/09/25/patch-release-gitlab-16-10-10-released/