【 資安警訊 】- GitLab存在重大漏洞,攻擊者可冒用任意用戶身分執行Pipeline工作流程
發布編號:OIS-CTI-2024-07-001
情資來源:iThome
事件類型:攻擊、漏洞警訊公告
內容說明:
6月26日GitLab針對社群版(CE)及企業版(EE)發布重大修補更新17.1.1、17.0.3、16.11.5版,總共修補14個漏洞,其中最值得留意的部分,是列為重大層級的CVE-2024-5655,CVSS風險評為9.6分。
這項漏洞影響15.8至16.11.4、17.0.0 至17.0.2,以及17.1.0至17.1.0版,無論CE或EE版都會受到影響。開發團隊指出,一旦攻擊者觸發漏洞,就可能在特定情況下,以其他使用者的身分存取Pipeline工作流程。
雖然目前此漏洞尚未出現遭到利用的跡象,但有鑑於資安問題極為嚴重,開發團隊呼籲使用者應儘速套用新版程式。
但由於這項漏洞涉及Pipeline,開發團隊也指出更新後會出現兩項重大變更。
其中一項是合併請求(Merge Requests,MR)進到單一目標的工作流程會受到改變,因先前的目標分支遭到合併而導致合併請求需自動重新調整進入的目標,導致含有這類流程的Pipeline可能無法自動執行。使用者必須手動啟動Pipeline,才能讓持續整合(CI)執行相關變更。
另一個則與身分驗證有關。透過CI_JOB_TOKEN進行的GraphQL身分驗證機制,在本次更新版本皆預設為停用,使用者若要存取GraphQL的API,必須指定其中一種Token進行驗證。
影響平台:
● GitLab
建議措施:
● 建議儘速升級程式版本至新版本,避免版本受到此漏洞的影響。
|
產品型號 |
影響平台 |
受影響版本 |
建議的版本 |
|
|
GitLab |
ALL |
15.8版至16.11.4版 17.0.0版至17.0.2版 17.1.0版至17.1.0版 |
16.11.5版 17.0.3版 17.1.1版 |
|
以上內容供大家參考,詳細內容可點及下方連結進行查看,謝謝。
參考連結:
IThome 文章 : https://www.ithome.com.tw/news/163728