GitLab в очередной раз выпустила исправления для устранения критического недостатка безопасности в своих Community Edition (CE) и Enterprise Edition (EE), которые могли быть использованы для записи произвольных файлов при создании workspace.
Отслеживается как CVE-2024-0402, уязвимость имеет оценку CVSS 9,9 из максимум 10.
"В GitLab CE / EE обнаружена ошибка, затрагивающая все версии от 16.0 до 16.5.8, 16.6 до 16.6.6, 16.7 до 16.7.4 и 16.8 до 16.8.1, которая позволяет аутентифицированному пользователю записывать файлы в произвольные местоположения на сервере GitLab при создании рабочего пространства", - сказал GitLab в рекомендациях, выпущенных 25 января 2024 года.
Компания также отметила, что исправления для ошибки были перенесены в версии 16.5.8, 16.6.6, 16.7.4 и 16.8.1.
Также GitLab устранила четыре ошибки средней степени серьезности, которые могли приводить к отказу в обслуживании по регулярному выражению (ReDoS), внедрению HTML и раскрытию общедоступного адреса электронной почты пользователя через RSS-канал тегов.
Последнее обновление выходит через две недели после того, как платформа DevSecOps выпустила исправления, устраняющие два критических недостатка, в том числе один, который мог быть использован для захвата учетных записей без какого-либо взаимодействия с пользователем (CVE-2023-7028, оценка CVSS: 10.0).
Пользователям рекомендуется как можно скорее обновить установки до исправленной версии, чтобы снизить потенциальные риски. GitLab.com а в выделенных средах GitLab уже установлена последняя версия.
Отслеживается как CVE-2024-0402, уязвимость имеет оценку CVSS 9,9 из максимум 10.
"В GitLab CE / EE обнаружена ошибка, затрагивающая все версии от 16.0 до 16.5.8, 16.6 до 16.6.6, 16.7 до 16.7.4 и 16.8 до 16.8.1, которая позволяет аутентифицированному пользователю записывать файлы в произвольные местоположения на сервере GitLab при создании рабочего пространства", - сказал GitLab в рекомендациях, выпущенных 25 января 2024 года.
Компания также отметила, что исправления для ошибки были перенесены в версии 16.5.8, 16.6.6, 16.7.4 и 16.8.1.
Также GitLab устранила четыре ошибки средней степени серьезности, которые могли приводить к отказу в обслуживании по регулярному выражению (ReDoS), внедрению HTML и раскрытию общедоступного адреса электронной почты пользователя через RSS-канал тегов.
Последнее обновление выходит через две недели после того, как платформа DevSecOps выпустила исправления, устраняющие два критических недостатка, в том числе один, который мог быть использован для захвата учетных записей без какого-либо взаимодействия с пользователем (CVE-2023-7028, оценка CVSS: 10.0).
Пользователям рекомендуется как можно скорее обновить установки до исправленной версии, чтобы снизить потенциальные риски. GitLab.com а в выделенных средах GitLab уже установлена последняя версия.
