IT评测·应用市场-qidao123.com技术社区

标题: GitLab 发布安全补丁版本17.6.1, 17.5.3, 17.4.5 [打印本页]

作者: 用户云卷云舒 时间: 2024-11-28 10:06
标题: GitLab 发布安全补丁版本17.6.1, 17.5.3, 17.4.5
天职分享极狐GitLab 补丁版本 17.6.1, 17.5.3, 17.4.5 的详细内容。这几个版本包含紧张的缺陷和安全修复代码，我们强烈建议所有私有化部署用户应该立即升级到上述的某一个版本。对于极狐GitLab SaaS，技术团队已经进行了升级，无需用户采取任何措施。
极狐GitLab 正式推出头向 GitLab 老旧版本的专业升级服务，专业技术人员为 GitLab 版本升级提供企业级服务，让企业业务畅行无忧！

升级之前可以在极狐GitLab 升级路径官网查看对应的升级路径，一定要按照升级路径升级，否则极易出现问题。

毛病详情

标题严肃等级CVE ID通过 LFS 令牌提升权限高CVE-2024-8114查看精心制作的 cargo.toml 文件时，由于未受控的资源消耗导致 DoS 攻击中等CVE-2024-8237通过范围限定的令牌意外访问数据库中等CVE-2024-11669通过 Harbor 镜像仓库集成导致的极狐GitLab DoS 攻击中等CVE-2024-8177通过 test_report API 调用导致的资源耗尽和 DoS 攻击中等CVE-2024-11828流式传输端点在撤销后没有使令牌失效中等CVE-2024-11668CVE-2024-8114

此毛病允许攻击者使用受害者的个人访问令牌（PAT）进行权限提升。影响从 8.12 开始到 17.4.5 之前的所有版本、从 17.5 开始到 17.5.3 之前的所有版本以及从 17.6 开始到 17.6.1 之前的所有版本。这是一个中等级别的安全问题（CVSS:3.1/AV:N/AC:H/PR

/UI:N/S:C/C:H/I:H/A:N , 8.2）。现在这个问题在最新版本中已经得到了修复，同时被分配为 CVE-2024-8114。
CVE-2024-8237

此毛病下，通过精心伪造的 cargo.toml 文件，攻击者可以造成 DoS 攻击。影响从 12.6 开始到 17.4.5 之前的所有版本、从 17.5 开始到 17.5.3 之前的所有版本以及从 17.6 开始到 17.6.1 之前的所有版本。这是一个中等级别的安全问题（CVSS:3.1/AV:N/AC

/PR

/UI:N/S:U/C:N/I:N/A:H, 6.5）。现在这个问题在最新版本中已经得到了修复，同时被分配为 CVE-2024-8237。
CVE-2024-11669

此毛病下，某些 API 端点大概由于过分应用令牌范围，导致允许未经授权的敏感数据访问。影响从 16.9.8 开始到 17.4.5 之前的所有版本、从 17.5 开始到 17.5.3 之前的所有版本以及从 17.6 开始到 17.6.1 之前的所有版本。这是一个中等级别的安全问题（CVSS:3.1/AV:N/AC

/PR:H/UI:N/S:U/C:H/I:H/A:N, 6.5）。现在这个问题在最新版本中已经得到了修复，同时被分配为 CVE-2024-11669。
CVE-2024-8177

此毛病下，攻击者可以通过集成一个恶意的 harbor 镜像仓库导致 DoS 攻击。影响从 15.6 开始到 17.4.5 之前的所有版本、从 17.5 开始到 17.5.3 之前的所有版本以及从 17.6 开始到 17.6.1 之前的所有版本。这是一个中等级别的安全问题（CVSS:3.1/AV:N/AC:H/PR

/UI:N/S:U/C:N/I:N/A:H, 5.3）。现在这个问题在最新版本中已经得到了修复，同时被分配为 CVE-2024-8177。
CVE-2024-11828

通过利用此毛病，通过发送精心伪造的 API 调用，攻击者就能够创造一个 DoS 攻击条件。影响从 13.2.4 开始到 17.4.5 之前的所有版本、从 17.5 开始到 17.5.3 之前的所有版本以及从 17.6 开始到 17.6.1 之前的所有版本。这是一个中等级别的安全问题（CVSS:3.1/AV:N/AC

/PR

/UI:N/S:U/C:N/I:N/A

, 4.3）。现在这个问题在最新版本中已经得到了修复，同时被分配为 CVE-2024-11828。
CVE-2024-11668

在此毛病下，长期连接大概会潜在地绕过认证控制，允许未经授权的访问流式结果。影响从 16.11 开始到 17.4.5 之前的所有版本、从 17.5 开始到 17.5.3 之前的所有版本以及从 17.6 开始到 17.6.1 之前的所有版本。这是一个中等级别的安全问题（CVSS:3.1/AV:N/AC:H/PR

/UI:N/S:U/C

/I:L/A:N, 4.2）。现在这个问题在最新版本中已经得到了修复，同时被分配为 CVE-2024-11668。
影响版本

CVE-2024-8114

<ul>8.12

欢迎光临 IT评测·应用市场-qidao123.com技术社区 (https://dis.qidao123.com/)