GitLab對社群與企業釋出最新13.3.4、13.2.8和13.1.10更新版本,以修復一系列重要漏洞,範疇包括可能洩漏檔案和資訊、未經授權存取或是特權升級等問題,官方敦促用戶應該盡快升級,避免受到惡意入侵。

官方在新版本修復了網頁上存在的儲存XSS漏洞CVE-2020-13301;還有GitLab EKS的整合,可能受到供應商跨帳戶角色假設攻擊CVE-2020-13318,可能允許惡意人士執行特權存取,甚至是使用戶的AWS帳戶遭到接管。

官方還修復了多個與非法存取有關的漏洞,像是之前的版本,允許駭客重複使用已經過期的令牌,存取未經授權的資源,該漏洞CVE-2020-13284也已經在最新版本中被修復。而Conan套件的上傳功能,因為沒有適當地驗證參數,而可能導致部分檔案遭到洩漏的CVE-2020-13298也已經被解決。新版本也限制了未授權的專案維護者,無法編輯子群組的標誌。

有一項內部調查顯示,GitLab的Wiki容易受到解析器攻擊,進而禁止任何人透過使用者介面存取Wiki功能,官方順道在新版本一併解決。另外,開發團隊也修復了數個GitLab登入方面的漏洞,像是在部分情況下,GitLab無法正確撤銷用戶對話的CVE-2020-13302,與允許惡意人士使用舊密碼存取用戶帳戶的CVE-2020-13302,還有GitLab Omniauth端點可被篡改的CVE-2020-13314,允許惡意人士提交要傳送回給用戶的錯誤訊息,這些錯誤都已經被修正。


Advertisement

更多 iThome相關內容