GitLab 发布了一个关键安全更新,解决了一个可能导致未经授权访问 Kubernetes 集群的高严重性漏洞。社区版(CE)和企业版(EE)的 17.5.2、17.4.4 和 17.3.7 版共修补了六个安全漏洞,包括关键的 Kubernetes 问题和其他几个中等严重性的漏洞。
最严重的漏洞(CVE-2024-9693)允许在特定配置下未经授权访问集群中的 Kubernetes 代理。GitLab 安全公告警告说:“这是一个高严重性问题(CVSS 8.5)。该漏洞是由 GitLab 团队成员 Tiger Watson 在内部发现的。”
除了 Kubernetes 漏洞,GitLab 还修补了其他几个漏洞,包括
- 设备 OAuth 流量漏洞 (CVE-2024-7404): 该漏洞可让攻击者以受害者身份获得完整的 API 访问权限。
- 拒绝服务 (DoS) 漏洞: 使用 Fogbugz 导入器导入恶意制作的内容可能会触发拒绝服务。
- 存储 XSS 漏洞 (CVE-2024-8648): 攻击者可通过特制 URL 向分析仪表板注入恶意 JavaScript 代码。
- HTML 注入漏洞 (CVE-2024-8180): 如果未启用内容安全策略 (CSP),不正确的输出编码可能导致跨站点脚本 (XSS) 攻击。
-
信息披露漏洞 (CVE-2024-10240): 未经身份验证的用户可能会在特定情况下读取私有项目中的合并请求信息。
GitLab 敦促所有用户立即将其自主管理安装升级到最新版本。
“我们强烈建议所有运行受下述问题影响的版本的安装程序尽快升级到最新版本。”