開發者常使用的GitLab開發平台,在3月31日的公告,他們發布3個新版本,適用於社群版(Community Edition, CE)及企業版(Enterprise Edition, EE),分別是13.10.1、13.9.5及13.8.7。在這些版本中,皆有安全性修補程序,所以GitLab強烈建議立即更新。

在這次的更新公告當中,可以看到共有10個漏洞,由風險程度來區分,有1個重大風險、1個高度風險、3個中度風險、3個低度風險。

而其中,重大風險關於,在專案輸入期間讀取任意檔案,這個漏洞在13.9版本開始發現有這個漏洞,可能有特別導入的檔案可讀取伺服器中的檔案,CVSS風險評分高達9.6。

再來,是高度風險的漏洞,則是發現在13.7.9之後的所有版本,如果攻擊者導入特殊的維基頁面,就會在伺服器中讀取檔案,此漏洞的CVSS風險評分分數為7.5。

接著,關於中度嚴重性漏洞,有3個,各別是合併請求中儲存跨網站指令碼,以匿名使用者透過公開專案的fork指令存取內部專案資料,及任何使用者皆可刪除事件度量影像。三者的CVSS風險評分是6.3、5.9及4.3。

熱門新聞

Advertisement