ToB企服应用市场:ToB评测及商务社交产业平台

标题: 极狐GitLab 正式发布安全补丁版本 17.6.2、17.5.4、 17.4.6 [打印本页]

作者: 科技颠覆者 时间: 2024-12-16 20:19
标题: 极狐GitLab 正式发布安全补丁版本 17.6.2、17.5.4、 17.4.6
本分分享极狐GitLab 补丁版本 17.6.2, 17.5.4, 17.4.6 的详细内容。这几个版本包含重要的缺陷和安全修复代码，我们强烈建议全部私有化部署用户应该立刻升级到上述的某一个版本。对于极狐GitLab SaaS，技能团队已经举行了升级，无需用户接纳任何步伐。
参考资料

毛病详情

CVE-2024-11274

在 Kubernetes 署理相应中的网络错误日记注入大概会导致会话数据的泄漏。影响从 16.1 开始到 17.4.6 之前的全部版本、从 17.5 开始到 17.5.4 之前的全部版本以及从 17.6 开始到 17.6.2 之前的全部版本。这是一个中等级别的安全问题（CVSS:3.1/AV:N/AC

/PR:N/UI:N/S:U/C:N/I:N/A:H, 8.7）。如今这个问题在最新版本中已经得到了修复，同时被分配为 CVE-2024-8114。
CVE-2024-8233

此毛病下，攻击者可以在代码提交或者合并哀求中利用对差异文件的哀求来制造 DoS 攻击。影响从 9.4 开始到 17.4.6 之前的全部版本、从 17.5 开始到 17.5.4 之前的全部版本以及从 17.6 开始到 17.6.2 之前的全部版本。这是一个中等级别的安全问题（CVSS:3.1/AV:N/AC

/PR:N/UI:N/S:U/C:N/I:N/A:H, 7.5）。如今这个问题在最新版本中已经得到了修复，同时被分配为 CVE-2024-8237。
CVE-2024-12570

此毛病下，攻击者大概会利用受害者的 CI_JOB_TOKEN来获取属于受害者的极狐GitLab 会话。影响从 13.7 开始到 17.4.6 之前的全部版本、从 17.5 开始到 17.5.4 之前的全部版本以及从 17.6 开始到 17.6.2 之前的全部版本。这是一个中等级别的安全问题（CVSS:3.1/AV:N/AC:H/PR

/UI:R/S:U/C:H/I:H/A

, 6.7）。如今这个问题在最新版本中已经得到了修复，同时被分配为 CVE-2024-12570。
CVE-2024-9387

此毛病下，攻击者可为给定的 release API 端点实行开放重定向。影响从 11.8 开始到 17.4.6 之前的全部版本、从 17.5 开始到 17.5.4 之前的全部版本以及从 17.6 开始到 17.6.2 之前的全部版本。这是一个中等级别的安全问题（CVSS:3.1/AV:N/AC:H/PR

/UI:R/S:U/C:H/I:H/A:N, 6.4）。如今这个问题在最新版本中已经得到了修复，同时被分配为 CVE-2024-9387。
CVE-2024-8647

私有化部署安装中，当开启了 Harbor 集成时，大概获奖 CSRF 令牌泄漏给外部站点。影响从 15.2 开始到 17.4.6 之前的全部版本、从 17.5 开始到 17.5.4 之前的全部版本以及从 17.6 开始到 17.6.2 之前的全部版本。这是一个中等级别的安全问题（CVSS:3.1/AV:N/AC

/PR

/UI:R/S:C/C

/A:N, 5.4）。如今这个问题在最新版本中已经得到了修复，同时被分配为 CVE-2024-8647。
CVE-2024-8179

如没有开启内容安全策略，则不正确的输出解码大概会导致 XSS 攻击。影响从 17.3 开始到 17.4.6 之前的全部版本、从 17.5 开始到 17.5.4 之前的全部版本以及从 17.6 开始到 17.6.2 之前的全部版本。这是一个中等级别的安全问题（CVSS:3.1/AV:N/AC

/PR:L/UI:R/S:C/C:L/I:L/A:N, 5.4）。如今这个问题在最新版本中已经得到了修复，同时被分配为 CVE-2024-8179。
CVE-2024-8116

通过使用特定的 Graph 查询，在特定条件下未认证的用户可以获取分支名称。影响从 16.9 开始到 17.4.6 之前的全部版本、从 17.5 开始到 17.5.4 之前的全部版本以及从 17.6 开始到 17.6.2 之前的全部版本。这是一个中等级别的安全问题（CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N, 5.3）。如今这个问题在最新版本中已经得到了修复，同时被分配为 CVE-2024-8116。
CVE-2024-8650

该毛病下，在公开项目的合并哀求中允许非成员用户查看未解决的主题并将此标记为内部表明。影响从 15.0 开始到 17.4.6 之前的全部版本、从 17.5 开始到 17.5.4 之前的全部版本以及从 17.6 开始到 17.6.2 之前的全部版本。这是一个中等级别的安全问题（CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N, 5.3）。如今这个问题在最新版本中已经得到了修复，同时被分配为 CVE-2024-8650。
CVE-2024-9367

该毛病下，攻击者大概会导致不受控的资源斲丧，且当将模板剖析为生成式变更日记时，大概会导致 DoS 攻击。影响从 13.9 开始到 17.4.6 之前的全部版本、从 17.5 开始到 17.5.4 之前的全部版本以及从 17.6 开始到 17.6.2 之前的全部版本。这是一个中等级别的安全问题（CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:L, 4.3）。如今这个问题在最新版本中已经得到了修复，同时被分配为 CVE-2024-9367。
CVE-2024-12292

该毛病下，在 GraphQL mutation 中通报的敏感信息大概会在 GraphQL 日记中获得。影响从 11.0 开始到 17.4.6 之前的全部版本、从 17.5 开始到 17.5.4 之前的全部版本以及从 17.6 开始到 17.6.2 之前的全部版本。这是一个中等级别的安全问题（CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N, 4.0）。如今这个问题在最新版本中已经得到了修复，同时被分配为 CVE-2024-12292。
CVE-2024-10043

该毛病允许群组用户通过 Wiki 历史差异功能来查看机密事件信息，从而导致潜在的信息泄漏。影响从 14.3 开始到 17.4.6 之前的全部版本、从 17.5 开始到 17.5.4 之前的全部版本以及从 17.6 开始到 17.6.2 之前的全部版本。这是一个中等级别的安全问题（CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:L/I:N/A:N, 3.1）。如今这个问题在最新版本中已经得到了修复，同时被分配为 CVE-2024-10043。
CVE-2024-9633

该毛病允许攻击者创建和既有的独特 Pages 域名相同的群组，从而导致域名困惑攻击。影响从 16.3 开始到 17.4.2 之前的全部版本、从 17.5 开始到 17.5.4 之前的全部版本以及从 17.6 开始到 17.6.2 之前的全部版本。这是一个中等级别的安全问题（CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:N/I:N/A:L, 3.1）。如今这个问题在最新版本中已经得到了修复，同时被分配为 CVE-2024-9633。
影响版本

CVE-2024-11274

<ul>16.1

欢迎光临 ToB企服应用市场:ToB评测及商务社交产业平台 (https://dis.qidao123.com/)