Gitlab 的安全漏洞是不是太多了点?

原创
2019/10/31 22:45
阅读数 7.6K

Gitlab 又又又发布了重要的安全更新补丁 12.4.1, 12.3.6, 和 12.2.9 ,包括社区版和企业版。包含重要的安全更新,官方再次强烈建议所有 Gitlab 用户立即更新!!!

看看从今年 7 月份到现在,Gitlab 发布了多少安全补丁更新,每一次官方都是强烈建议立即更新!

那么这一次又有什么新漏洞呢? 

1. 合并请求的源分支可能被未授权用户删除

漏洞编号:CVE-2019-18446. 影响版本包括 GitLab CE/EE 8.15 以及以后的版本。

2. 私有组的成员列表泄露

漏洞编号:CVE-2019-18447 ,影响所有的 Gitlab 版本

3. ElasticSearch 集成模块导致系统说明泄露

漏洞编号 CVE-2019-18460, 影响 Gitlab 8.8.3 以及以后版本。

4. ElasticSearch 集成模块导致私有评论泄露

漏洞编号 CVE-2019-18456. 影响 GitLab EE 8.17 以及以后版本

5. 通过使用蛮力,未经授权的用户可以检查是否存在私有存储库

漏洞编号 CVE-2019-18448 ,影响所有 Gitlab 版本

6. 项目标签泄露

漏洞编号 CVE-2019-18450, 影响所有 Gitlab 版本。

7. 私有项目路径和标签泄露

漏洞编号 GitLab CE/EE 11.3 ,影响 GitLab CE/EE 11.3 以及以后版本

8. 嵌套的 GraphQL 查询导致无法控制的资源消耗

漏洞编号 CVE-2019-18455 ,影响 GitLab CE/EE 11 以及以后版本。

9. 评论的访问控制不当

漏洞编号 CVE-2019-18453. ,影响 11.6 以后版本

10. 哨兵令牌访问控制

在Sentry令牌处理中发现的授权问题,该问题允许访问降级的用户。 

漏洞编号 CVE-2019-18457, 影响 11.8 以后版本

11. 项目转移选项的授权检查

将项目转移到另一个组功能所需的授权检查允许具有开发人员权限的用户转移项目。

漏洞编号 CVE-2019-18458.,影响 Gitlab CE 10.5 以后版本

12. 使用 RDoc 的 Wiki 页面的 XSS 漏洞

RDoc Wiki页面的链接验证包含一个问题,该问题可能会被利用到一个持久的XSS漏洞。

漏洞编号 CVE-2019-18454, 影响 GitLab CE/EE 10.5 以后版本

13. 不受信任的输入导致内部重定向

内部审查确定了InternalRedirect过滤中的一个问题,允许进行开放式重定向攻击。

漏洞编号 CVE-2019-18451,影响 GitLab CE/EE 10.7.4  以后版本

14. 受保护环境的访问控制漏洞

内部审查确定,即使在撤离小组之后,小组仍可以保持对受保护环境的访问权限

漏洞编号 CVE-2019-18459 影响版本 GitLab CE/EE 11.3 to 12.3

15. 私有的子组路径泄露

当将子组添加到公共组时,将公开私有子组路径。

漏洞编号 CVE-2019-18461 影响 GitLab CE/EE 12.0 以后版本。

16. 组的包列表泄露

未经授权的用户可以列出组的软件包。

漏洞编号 CVE-2019-18463. 影响 GitLab CE/EE 12.0 以后版本

17. 私有仓库名泄露

未经授权的用户可以确认私有存储库的名称。

漏洞编号 CVE-2019-18462. 影响 GitLab CE/EE 12.2 以后版本。

官方发行说明 https://about.gitlab.com/blog/2019/10/30/security-release-gitlab-12-dot-4-dot-1-released/

展开阅读全文
加载中
点击引领话题📣 发布并加入讨论🔥
0 评论
0 收藏
0
分享
返回顶部
顶部