GitLab publikuje aktualizacje dla swoich produktów. (P24-031)

utworzone przez | sty 26, 2024 | Aktualizacje

ProduktGitLab Community Edition (CE) – wiele wersji
GitLab Enterprise Edition (EE) – wiele wersji
Numer CVECVE-2024-0402
Krytyczność9,9/10
CVSSAV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
OpisW GitLab CE/EE wykryto problem dotyczący wszystkich wersji od 16.0 przed 16.5.8, 16.6 przed 16.6.6, 16.7 przed 16.7.4 i 16.8 przed 16.8.1, który umożliwia uwierzytelnionemu użytkownikowi zapisywanie plików do dowolnych lokalizacji na serwerze GitLab podczas tworzenia obszaru roboczego
  
Numer CVECVE-2023-6159
Krytyczność6,5/10
CVSSAV:Nie dotyczy:L/PR:L/UI:N/S:U/C:Nie/I:Nie dotyczy:H
OpisW GitLab CE/EE wykryto problem dotyczący wszystkich wersji od 12.7 przed 16.6.6, 16.7 przed 16.7.4 i 16.8 przed 16.8.1. Osoba atakująca mogła wywołać odmowę usługi wyrażeń regularnych za pośrednictwem plik Cargo.toml zawierający złośliwie spreparowane dane wejściowe.
  
Numer CVECVE-2023-5933
Krytyczność6,4/10
CVSSAV:N/AC:H/PR:L/UI:R/S:U/C:H/I:H/A:N
OpisW GitLab CE/EE wykryto problem dotyczący wszystkich wersji po 13.7 przed 16.6.6, 16.7 przed 16.7.4 i 16.8 przed 16.8.1. Niewłaściwe oczyszczanie danych wejściowych nazwy użytkownika umożliwia dowolne żądania API PUT. Jest to problem o średniej wadze
  
Numer CVECVE-2023-5612
Krytyczność5,3/10
CVSSAV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/D:N
OpisW GitLab wykryto problem dotyczący wszystkich wersji wcześniejszych niż 16.6.6, 16.7 wcześniejszych niż 16.7.4 i 16.8 wcześniejszych niż 16.8.1. Możliwe było odczytanie adresu e-mail użytkownika poprzez kanał tagów, chociaż widoczność w profilu użytkownika została wyłączona.
  
Numer CVECVE-2024-0456
Krytyczność4,3/10
CVSSAV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N
OpisW wersjach GitLab 14.0 wcześniejszych niż 16.6.6, 16.7 wcześniejszych niż 16.7.4 i 16.8 wcześniejszych niż 16.8.1 występuje luka w zabezpieczeniach związanych z autoryzacją. Nieupoważniony atakujący może przypisać dowolnych użytkowników do MR, które utworzył w ramach projektu.
  
AktualizacjaTAK
Linkhttps://about.gitlab.com/releases/2024/01/25/critical-security-release-gitlab-16-8-1-released/