GitLab 發(fā)布安全更新修復(fù)竊取信息漏洞，敦促用戶盡快安裝

IT之家 9 月 20 日消息，GitLab 近日發(fā)布了安全更新，修復(fù)了一個“關(guān)鍵”級別的高危漏洞，，并敦促用戶盡快升級。據(jù)悉 GitLab 社區(qū)版（CE）和企業(yè)版（EE），從 13.12 到 16.2.7 此前版本、16.3.4 此前的 16.3 版本均受影響。

這個漏洞由安全研究人員和漏洞獵人 Johan Carlsson 發(fā)現(xiàn)，最初是一個中等嚴重的漏洞，追蹤編號為 CVE-2023-3932，官方于 8 月進行修復(fù)。

不過研究人員發(fā)現(xiàn)了新的方法了繞過保護，并驗證了可以施加額外的影響，最新追蹤編號為 CVE-2023-4998，在 CVSS 3.1 版本中得分為 9.6 分（滿分 10 分，分數(shù)越高越危險）。

攻擊者在用戶不知情且沒有權(quán)限的情況下，冒充用戶進行管道任務(wù)（一系列自動化任務(wù)），從而獲取敏感信息，或者冒充用戶的權(quán)限來運行代碼、修改數(shù)據(jù)或觸發(fā) GitLab 系統(tǒng)中的特定事件。

GitLab 社區(qū)和企業(yè)版 16.3.4 和 16.2.7 版本目前已經(jīng)修復(fù) CVE-2023-4998 漏洞，GitLab 敦促用戶盡快升級。

16.3.4

• Use new indexer, fix removing blobs from index

16.2.7

IT之家注：GitLab 是一個開源的版本控制和項目管理工具，其分為兩個版本：社區(qū)版和企業(yè)版。

社區(qū)版是免費的，可以在自己的服務(wù)器上部署。它提供了一些基本的版本控制和項目管理功能，如源代碼管理、問題跟蹤、代碼評審、持續(xù)集成和部署等。

企業(yè)版是收費的，需要在 GitLab 官方服務(wù)器上部署。它比社區(qū)版提供了更多的高級功能，如高級安全性、更方便的管理、內(nèi)部代碼庫、更多的管理選項和報告等。

廣告聲明：文內(nèi)含有的對外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。