中科天齐软件源代码安全检测中心
GitLab发布了紧急安全更新16.0.1版本,以解决高严重性(CVSS v3.1分数:10.0)路径遍历漏洞,跟踪为CVE-2023-2825。
GitLab是一个基于Web的Git存储库,面向需要远程管理代码的开发团队,拥有大约3000万注册用户和100万付费客户。
最新更新中解决的漏洞影响GitLab社区版(CE)和企业版(EE)版本16.0.0,但早于此的版本不受影响。
该漏洞源于一个路径遍历问题,当附件存在于嵌套在至少五个组中的公共项目中时,未经身份验证的攻击者可以读取服务器上的任意文件。
利用CVE-2023-2825可能会暴露敏感数据,包括专有软件代码、用户凭据、令牌、文件和其他私人信息。
这个问题与GitLab如何管理或解析嵌套在几个级别的组层次结构中的附加文件的路径有关。然而,由于问题的严重性和发现的时间较短,未透露太多细节。
GitLab强调了及时进行应用最新安全更新的重要性。在GitLab的安全公告写道:强烈建议所有运行受此问题影响的版本尽快升级到最新版本。如果没有提及产品的特定部署类型(omnibus,源代码,helm chart等),这意味着所有类型都将受到影响。
建议 GitLab 16.0.0 的所有用户尽快更新到版本 16.0.1 以降低风险。
要更新 GitLab 安装,请按照项目更新页面上的说明进行操作。https://about.gitlab.com/update/
有关 GitLab Runner 更新,查看这里:https://docs.gitlab.com/runner/install/linux-repository.html#updating-the-runner
来源:
