近日，GitLab 發(fā)布了社區(qū)版（CE）和企業(yè)版（EE）的安全更新，以解決八個(gè)安全漏洞，其中包括一個(gè)可能允許在任意分支上運(yùn)行持續(xù)集成和持續(xù)交付（CI/CD）管道的關(guān)鍵漏洞。該漏洞被跟蹤為 CVE-2024-9164，CVSS 得分為 9.6（滿分 10 分），攻擊者可以在某些情況下以任意用戶身份觸發(fā)Pipeline，可能導(dǎo)致權(quán)限提升或執(zhí)行惡意操作 。

GitLab 在一份公告中說(shuō)："在 GitLab EE 中發(fā)現(xiàn)了一個(gè)漏洞，影響了從 12.5 開(kāi)始到 17.2.9 之前的所有版本、從 17.3 開(kāi)始到 17.3.5 之前的所有版本，以及從 17.4 開(kāi)始到 17.4.2 之前的所有版本。目前，GitLab CE/EE 17.1.7，17.2.5，17.3.2及以上版本已修復(fù)該漏洞。

在其余七個(gè)問(wèn)題中，四個(gè)被評(píng)為嚴(yán)重程度高，兩個(gè)被評(píng)為嚴(yán)重程度中，一個(gè)被評(píng)為嚴(yán)重程度低：

• CVE-2024-8970（CVSS 得分：8.2），允許攻擊者在某些情況下以其他用戶身份觸發(fā)管道
• CVE-2024-8977（CVSS 得分：8.2），允許在配置并啟用產(chǎn)品分析儀表板的 GitLab EE 實(shí)例中進(jìn)行 SSRF 攻擊
• CVE-2024-9631 (CVSS score: 7.5)，可導(dǎo)致在查看有沖突的合并請(qǐng)求的差異時(shí)速度變慢
• CVE-2024-6530 （CVSS 得分：7.3），由于跨站點(diǎn)腳本問(wèn)題，當(dāng)授權(quán)新應(yīng)用程序時(shí)，會(huì)在 OAuth 頁(yè)面中注入 HTML

近幾個(gè)月來(lái)，GitLab 不斷披露與管道相關(guān)的漏洞，該公告是其中的最新進(jìn)展。

近期歷史漏洞回顧

GitLab近期頻繁披露與管道相關(guān)的漏洞，此次更新只是其中的一部分。

上個(gè)月，GitLab修復(fù)了另一個(gè)關(guān)鍵漏洞（CVE-2024-6678，CVSS得分：9.9），該漏洞允許攻擊者以任意用戶身份運(yùn)行管道作業(yè)。

此前，GitLab還修補(bǔ)了其他三個(gè)類似的缺陷——CVE-2023-5009（CVSS得分：9.6）、CVE-2024-5655（CVSS得分：9.6）和CVE-2024-6385（CVSS得分：9.6）。

盡管目前沒(méi)有證據(jù)表明這些漏洞已被主動(dòng)利用，但GitLab強(qiáng)烈建議用戶將其實(shí)例更新至最新版本，以確保系統(tǒng)安全并防范潛在威脅。定期更新和監(jiān)控是保護(hù)關(guān)鍵基礎(chǔ)設(shè)施免受攻擊的重要措施。

GitLab的安全更新反映了當(dāng)前軟件安全環(huán)境的動(dòng)態(tài)性，企業(yè)需保持警惕并及時(shí)響應(yīng)安全公告，以維護(hù)其數(shù)字資產(chǎn)的安全。