GitLab publikuje aktualizacje dla swoich produktów. (P24-057)

utworzone przez | lut 22, 2024 | Aktualizacje

ProduktGitLab Community Edition (CE) – wersje wcześniejsze niż 16.9.1, 16.8.3 i 16.7.6
GitLab Enterprise Edition (EE) – wersje wcześniejsze niż 16.9.1, 16.8.3 i 16.7.6
Numer CVECVE-2024-1451
Krytyczność8,7/10
CVSSAV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:N
OpisW GitLab CE/EE wykryto problem dotyczący tylko wersji 16.9. Stworzony ładunek dodany do strony profilu użytkownika może prowadzić do przechowywania XSS po stronie klienta, co umożliwia atakującym wykonanie dowolnych działań w imieniu ofiar.
  
Numer CVECVE-2023-6477
Krytyczność6,7/10
CVSSAV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:L
OpisW GitLab EE wykryto problem wpływający na wszystkie wersje począwszy od 16.5 przed 16.7.6, wszystkie wersje począwszy od 16.8 przed 16.8.3, wszystkie wersje począwszy od 16.9 przed 16.9.1. Gdy użytkownikowi zostanie przypisana niestandardowa rola z uprawnieniami admin_group_member, może on mieć możliwość uczynienia grupy, innych członków lub siebie właścicielami tej grupy, co może prowadzić do eskalacji uprawnień.
  
Numer CVECVE-2023-6736
Krytyczność6,5/10
CVSSAV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H
OpisW GitLab EE wykryto problem wpływający na wszystkie wersje począwszy od 11.3 przed 16.7.6, wszystkie wersje począwszy od 16.8 przed 16.8.3, wszystkie wersje począwszy od 16.9 przed 16.9.1. Osoba atakująca mogła spowodować odmowę usługi po stronie klienta, wykorzystując złośliwą, spreparowaną zawartość w pliku CODEOWNERS. Ten
  
Numer CVECVE-2024-1525
Krytyczność5,3/10
CVSSAV:N/AC:H/PR:L/UI:N/S:U/C:N/I:H/A:N
OpisW GitLab CE/EE wykryto problem wpływający na wszystkie wersje począwszy od 16.1 przed 16.7.2, wszystkie wersje począwszy od 16.8 przed 16.8.2, wszystkie wersje począwszy od 16.9 przed 16.9.2. W pewnych szczególnych warunkach użytkownik LDAP może mieć możliwość zresetowania hasła przy użyciu zweryfikowanego dodatkowego adresu e-mail i zalogowania się przy użyciu bezpośredniego uwierzytelnienia za pomocą resetowanego hasła, z pominięciem protokołu LDAP.
  
Numer CVECVE-2023-4895
Krytyczność4,3/10
CVSSAV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/D:N
OpisW GitLab EE wykryto problem wpływający na wszystkie wersje począwszy od 12.0 do 16.7.6, wszystkie wersje począwszy od 16.8 przed 16.8.3, wszystkie wersje począwszy od 16.9 przed 16.9.1. Luka ta umożliwia ominięcie ustawień „ograniczeń IP grupy” w celu uzyskania dostępu do szczegółów środowiska projektów.
  
Numer CVECVE-2024-0861
Krytyczność4,3/10
CVSSAV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N
OpisW GitLab EE wykryto problem wpływający na wszystkie wersje począwszy od 16.4 przed 16.7.6, wszystkie wersje począwszy od 16.8 przed 16.8.3, wszystkie wersje począwszy od 16.9 przed 16.9.1. Użytkownicy z rolą Gość mogą zmieniać ustawienia projektów niestandardowych paneli kontrolnych wbrew uprawnieniom.
  
Numer CVECVE-2023-3509
Krytyczność3,7/10
CVSSAV:N/AC:H/PR:L/UI:R/S:U/C:L/I:L/A:N
OpisW GitLabie wykryto problem dotyczący wszystkich wersji wcześniejszych niż 16.7.6, wszystkich wersji rozpoczynających się od 16.8 przed 16.8.3 i wszystkich wersji rozpoczynających się od 16.9 przed 16.9.1. Członkowie grupy pełniący rolę podopiekuna mogli zmieniać tytuły dostępnych prywatnie kluczy wdrażania powiązanych z projektami w grupie.
  
Numer CVECVE-2024-0410
Krytyczność3,0/10
CVSSAV:N/AC:H/PR:L/UI:R/S:C/C:N/I:L/A:N
OpisW GitLab wykryto lukę w zabezpieczeniach pozwalającą na obejście autoryzacji, wpływającą na wersje 15.1 przed 16.7.6, 16.8 przed 16.8.3 i 16.9 przed 16.9.1. Programista może ominąć zatwierdzenia CODEOWNERS, tworząc konflikt scalania.
  
AktualizacjaTAK
Linkhttps://about.gitlab.com/releases/2024/02/21/security-release-gitlab-16-9-1-released/