近日,国家信息安全漏洞库(CNNVD)收到关于GitLab安全漏洞(CNNVD-202409-1044、CVE-2024-6678)情况的报送。攻击者可以利用漏洞绕过身份验证,导致软件项目仓库数据泄露,进而攻陷服务器。GitLab多个版本均受此漏洞影响。目前,GitLab官方已发布新版本修复了该漏洞,建议用户及时确认GitLab版本,尽快采取修补措施。

一、漏洞介绍

GitLab是美国GitLab公司的一款软件项目仓库应用程序,具有版本控制、问题跟踪、代码审查、持续集成和持续交付等功能。GitLab存在一个身份验证绕过漏洞,攻击者可以通过某种方式利用其他用户身份触发pipeline,从而绕过身份验证,导致仓库数据泄露,进而攻陷服务器。

二、危害影响

GitLab CE/EE 8.14 至GitLab CE/EE17.1.7之前版本、GitLab CE/EE 17.2至GitLab CE/EE 17.2.5之前版本、GitLab CE/EE 17.3 至GitLab CE/EE 17.3.2之前版本均受该漏洞影响。

三、修复建议

目前,GitLab官方已发布新版本修复了该漏洞,建议用户及时确认产品版本,尽快采取修补措施。官方升级链接:

https://about.gitlab.com/update

本通报由CNNVD技术支撑单位——中国信息安全测评中心华中测评中心(湖南省信息安全测评中心)、奇安信网神信息技术(北京)股份有限公司、锐捷网络股份有限公司、三六零数字安全科技集团有限公司、内蒙古旌云科技有限公司、南京国云电力有限公司、深信服科技股份有限公司、杭州安恒信息技术股份有限公司、内蒙古万邦信息安全技术有限公司、广州纬安科技有限公司、广东省信息安全测评中心、郑州云智信安安全技术有限公司、河北华测信息技术有限公司等技术支撑单位提供支持。

CNNVD将继续跟踪上述漏洞的相关情况,及时发布相关信息。如有需要,可与CNNVD联系。联系方式: cnnvdvul@itsec.gov.cn

声明:本文来自CNNVD安全动态,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。