010-68421378
sales@cogitosoft.com
当前您所在的位置:首页>新闻中心>新品发布

GitLab关键安全版本发布

发布时间:2024/07/29 浏览量:242
GitLab极狐版(JH)的补丁版本 17.0.5, 17.1.3, 17.2.1 已经发布。 这些版本包含重要的安全修复程序,强烈建议立即将所有受影响的Git...

 GitLab 极狐版 (JH) 的补丁版本  17.0.5, 17.1.3, 17.2.1 已经发布。

这些版本包含重要的安全修复程序,强烈建议立即将所有受影响的 GitLab  安装升级到该版本。

 

Table of security fixes

Title

Severity

XSS via the Maven Dependency Proxy

High

Project level analytics settings leaked in DOM

Medium

Reports can access and download job artifacts despite use of settings to prevent it

Medium

Direct Transfer - Authorised project/group exports are accessible to other users

Medium

Bypassing tag check and branch check through imports

Low

Project Import/Export - Make project/group export files hidden to everyone except user who initiated it

Low

 
 

通过Maven Dependency ProxyXSS

GitLab CE/EE中存在跨站点脚本漏洞,影响17.0.5之前的16.617.1.3之前的17.117.2.1之前的17.2的所有版本,允许攻击者在当前登录用户的上下文中执行任意脚本。这是一个高严重度问题( CVSS:3.1/AV:N/AC:H/PR:L/UI:R/S:C/C:H/I:H/A:N 7.7

 

DOM中泄露的项目级分析设置

GitLab EE中发现了一个问题,影响17.0.5之前的16.1117.1.3之前的17.117.2.1之前的17.2的所有版本,其中某些项目级别的分析设置可能会在DOM中泄露给具有开发人员或更高角色的组成员。这是一个中等严重度问题( CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:U/C:H/I:N/A:N 4.4)。目前已在最新版本中缓解,并分配给CVE-2024-5067

 

报告可以访问和下载作业工件,尽管使用了设置来阻止它

GitLab CE/EE中的一个信息泄露漏洞,影响17.0.5之前的16.7版本、17.1.3之前的17.1版本以及17.2.1之前的17.2版本,其中作业工件可能会不适当地暴露给缺乏适当授权级别的用户。这是一个中等严重度问题( CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N 4.3)。目前已在最新版本中缓解,并分配给CVE-2024-7057

 

直接传输-其他用户可以访问授权的项目/组导出

GitLab CE/EE中发现了一个问题,影响从17.0.5之前的15.6开始的所有版本,从17.1.3之前的17.1开始,以及从17.2.1之前的17.2开始,其中可能向另一个用户披露导出的组或项目的有限信息。

这是一个中等严重度问题( CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:N/A:N 4.1)。

 

通过导入执行标记检查和分支检查

GitLab CE/EE中存在一个影响17.0.5之前的所有版本12.017.1.3之前的所有版本17.117.2.1之前的所有版本17.2的资源误导漏洞,该漏洞允许攻击者以误导提交的方式创建存储库导入。这是低严重度问题( CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:L/A:N 2.7)。目前已在最新版本中缓解,并分配给CVE-2024-0231

 

项目导入/导出-使项目/组导出文件对除启动它的用户之外的所有人隐藏

GitLab CE/EE在项目/组导出中存在信息泄露漏洞,影响17.0.5之前的15.417.1.3之前的17.117.2.1之前的17.2的所有版本,允许未经授权的用户查看导出结果。这是低严重度问题( CVSS:3.1/AV:N/AC:H/PR:L/UI:R/S:U/C:L/I:N/A:N 2.6)。

 

下一篇:Enscape 4.1已发布! 发现最新版本
上一篇:如何将 JFrog 平台连接到 GitHub 环境以创建无缝集成

                               

 京ICP备09015132号-996网络文化经营许可证京网文[2017]4225-497号 | 违法和不良信息举报电话:4006561155

                                   © Copyright 2000-2023 北京哲想软件有限公司版权所有 | 地址:北京市海淀区西三环北路50号豪柏大厦C2座11层1105室

                         北京哲想软件集团旗下网站:哲想软件 | 哲想动画

                            华滋生物