内容简介:Gitlab 发布了适用于 GitLab CE 和 EE 的 13.9.2、13.8.5 和 13.7.8 版本。这些版本包含重要的安全修复程序,Gitlab 强烈建议立即将所有 GitLab 安装升级到上述这些版本。 通过 Workhorse 的 JWT 令牌泄漏 通过 ...
Gitlab 发布了适用于 GitLab CE 和 EE 的 13.9.2、13.8.5 和 13.7.8 版本。这些版本包含重要的安全修复程序,Gitlab 强烈建议立即将所有 GitLab 安装升级到上述这些版本。
通过 Workhorse 的 JWT 令牌泄漏
通过 GitLab Workhorse 进行的路径遍历漏洞可能导致所有版本的 GitLab 都面临 JWT令牌泄漏。Gitlab 已经请求了 CVE ID。
将 XSS 存储在 Wiki 页面中
GitLab 13.8 及更高版本的 Wiki 中输入清理不足,允许攻击者通过对 Wiki 的特制提交来利用存储的跨站点脚本漏洞。现在,该漏洞已在最新版本中得到缓解,并分配为 CVE-2021-22185 ID。
组维护者可以使用组 CI/CD 变量 API
GitLab CE/EE 9.4 及更高版本中的授权问题使组维护者可以修改组 CI/CD 变量,该变量应仅限于组所有者。现在,该漏洞已在最新版本中得到缓解,并分配为 CVE-2021-22186 ID。
GitLab 会话密钥的存储不安全
在所有版本的 GitLab 中,编组的会话密钥都存储在 Redis 中。Gitlab 已经请求了 CVE ID,并将在分配后对其进行更新。
更新 thrift gem
thrift gem 已升级到0.14.0,以减轻安全隐患。受影响的版本为 11.8 及更高版本。
更新 swagger-ui-dist 依赖性
为了缓解安全问题,对 swagger-ui-dist 的依赖性已升级到3.43.0。受影响的版本为 13.7 及更高版本。
更多详情可查看:https://about.gitlab.com/releases/2021/03/04/security-release-gitlab-13-9-2-released/
以上所述就是小编给大家介绍的《GitLab 13.9.2、13.8.5 和 13.7.8 发布,修复众多安全漏洞》,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持!
猜你喜欢:
- [浏览器安全漏洞一] dll劫持漏洞
- 【FreeBuf字幕组】Web安全漏洞系列:Electron框架漏洞
- 甲骨文例行更新修复了301个安全漏洞 包含45个严重漏洞
- 甲骨文例行更新修复了301个安全漏洞 包含45个严重漏洞
- [浏览器安全漏洞二] hao123桔子浏览器 – 页面欺骗漏洞
- 现如今连安全漏洞命名都用表情符了:思科路由器安全启动漏洞????????????(生气猫)
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
