banner1

即时通讯聊天软件

gitter是一款免费、跨平台的即时通讯聊天软件,通过丰富便捷的社区、聊天室功能支持,极大地降低用户的沟通交流成本。

bannerson

GitLab发布重要安全更新,修补XSS与AWS帐号接管漏洞

2020-09-09 09:23:00
李建兴
转贴:
ithome
43
摘要:GitLab对社群与企业释出最新13.3.4、13.2.8和13.1.10更新版本,以修复一系列重要漏洞,范畴包括可能泄漏档案和资讯、未经授权存取或是特权升级等问题,官方敦促用户应该尽快升级,避免受到恶意入侵。
GitLab对社群与企业释出最新13.3.4、13.2.8和13.1.10更新版本,以修复一系列重要漏洞,范畴包括可能泄漏档案和资讯、未经授权存取或是特权升级等问题,官方敦促用户应该尽快升级,避免受到恶意入侵。

官方在新版本修复了网页上存在的储存XSS漏洞CVE-2020-13301;还有GitLab EKS的整合,可能受到供应商跨帐户角色假设攻击CVE-2020-13318,可能允许恶意人士执行特权存取,甚至是使用户的AWS帐户遭到接管。

官方还修复了多个与非法存取有关的漏洞,像是之前的版本,允许骇客重复使用已经过期的令牌,存取未经授权的资源,该漏洞CVE-2020-13284也已经在最新版本中被修复。而Conan套件的上传功能,因为没有适当地验证参数,而可能导致部分档案遭到泄漏的CVE-2020-13298也已经被解决。新版本也限制了未授权的专案维护者,无法编辑子群组的标志。

有一项内部调查显示,GitLab的Wiki容易受到解析器攻击,进而禁止任何人透过使用者介面存取Wiki功能,官方顺道在新版本一并解决。另外,开发团队也修复了数个GitLab登入方面的漏洞,像是在部分情况下,GitLab无法正确撤销用户对话的CVE-2020-13302,与允许恶意人士使用旧密码存取用户帐户的CVE-2020 -13302,还有GitLab Omniauth端点可被篡改的CVE-2020-13314,允许恶意人士提交要传送回给用户的错误讯息,这些错误都已经被修正。
发表评论
评论通过审核后显示。
文章分类
联系我们

联系人:薛先生

QQ:753391279

邮箱:xuecaijie@cnezsoft.com

喧喧开源IM群:367833155