详细信息保留在安全发布中,为软件开发人员提供更新窗口
更新在发现一组包括关键访问令牌盗用问题的安全漏洞之后,需要更新GitLab安装。
首先,Gitlab版本的GitLab页面中对身份验证参数的验证不足11.5开始,潜在的攻击者可以通过GitLab页面窃取用户的API访问令牌。
安全研究人员报告了“高严重性”问题罗恩·陈通过Gitlab的Hackerone错误赏金程序。
上周四的补丁更新还涉及四个较小的“中等严重性”问题。
首先,存在一个脆弱性(CVE-2021-22166),这意味着攻击者可以通过以错误的方法发送HTTP请求,从而在GitLab 13.7中导致Prometheus拒绝服务。
第二个缺陷 - 从12.1开始影响所有版本的GitLab - 意味着特定项目页面中的不正确标题允许攻击者临时阅读公共存储库,即使仅限于成员。
安全研究人员发现了这个问题Anshraj Srivastava并通过hackerone报道。
在补丁列表中,Gitlab团队内部发现了Nuget API中的拒绝服务问题。
接下来是一个进一步的拒绝服务问题,这次涉及包上传。Gitlab解释说:“用于软件包名称的正则表达式以一种使执行时间根据恶意输入字符串的长度具有二次增长的方式编写。”
补丁详细信息
上周发布的更新包括稳定性和性能增强功能,其中一些解决了涉及早期补丁的问题。
这些补丁在13.7.2、13.6.4和13.5.6的大帐篷中汇集在一起,Gitlab社区版(CE)和企业版(EE),如图中所述咨询来自Gitlab。
每日swbeplay2018官网ig与Chan联系,以评论他发现的脆弱性。当更多信息掌握时,我们将更新此故事。
Portswigger Web安全性的高级beplay体育能用吗Web开发人员Leom Burkebeplay官网可以赌(注意:每日swbeplay2018官网ig的母公司)和长期DevSecops从业者,评论说:“最大的变化看起来是特定的问题Oauth实现可能给某些用户带来一些小不便。
他补充说:“通常,对于大多数应用程序,除非用户为其他目的利用'错误',否则此类安全补丁版本对用户没有太多问题。”
本文已更新,以修复有关GitLab每月补丁周期的错误陈述。感谢Twitter用户@Dee__看到为了使我们直截了当。