本分分享极狐GitLab 补丁版本17.4.1、17.3.4、17.2.8 的具体内容。
极狐GitLab 为 GitLab 的中文发行版,中文版本对中国用户更友好,关于极狐GitLab 的一键私有化部署详情可以查察官网指南 https://dl.gitlab.cn/0pi5jxls
近期,极狐GitLab 专业技术团队正式发布了 17.4.1、17.3.4、17.2.8 版本。这几个版本包含紧张的缺陷和安全修复代码,我们猛烈建议全部私有化部署用户应该立即升级到上述的某一个版本。对于极狐GitLab SaaS,技术团队已经举行了升级,无需用户采取任何措施。
漏洞详情
标题严重水平严重水平维护者可以通过精心构造的POST请求,然后通过更改Dependency Proxy URL来泄露Dependency Proxy暗码中CVE-2024-4278项目引用被暴露在系统解释中低CVE-2024-8974CVE-2024-4278
- 维护者可以通过精心构造的POST请求,通过更改Dependency Proxy URL来泄露Dependency Proxy暗码
在极狐GitLab 上发现了一个信息暴露问题,这影响了 16.5 到 17.2.8、17.3 到 17.3.4 以及 17.4 和 17.4.1 版本。维护者可以通过精心构造一个 POST 请求,然后通过编辑特定的 Dependency Proxy 设置来获取 Dependency Proxy 的暗码。这是一个中等风险的安全问题(CVSS:3.1/AV:N/AC /PR:H/UI:N/S:C/C/I/A:N, 5.5)。现在这个问题在最新版本中已经得到了修复,同时被分配为 CVE-2024-4278。
CVE-2024-8974
在极狐GitLab 上发现了一个信息暴露问题,这影响了 15.6 到 17.2.8、17.3 到 17.3.4 以及 17.4 和 17.4.1 版本。在特定的条件下有可能将私有项目的路径泄露给未授权的用户。这是一个低等风险的安全问题(CVSS:3.1/AV:N/AC:H/PR/UI:R/S:U/C/I:N/A:N, 2.6)。现在这个问题在最新版本中已经得到了修复,同时被分配为 CVE-2024-8974。
受影响版本
CVE-2024-4278
<ul>16.5 |
