GitLab发布重要安全更新,修补XSS与AWS帐号接管漏洞
- 2020-09-09 09:23:00
- 李建兴
- 转贴:
- ithome
- 190
官方在新版本修复了网页上存在的储存XSS漏洞CVE-2020-13301;还有GitLab EKS的整合,可能受到供应商跨帐户角色假设攻击CVE-2020-13318,可能允许恶意人士执行特权存取,甚至是使用户的AWS帐户遭到接管。
官方还修复了多个与非法存取有关的漏洞,像是之前的版本,允许骇客重复使用已经过期的令牌,存取未经授权的资源,该漏洞CVE-2020-13284也已经在最新版本中被修复。而Conan套件的上传功能,因为没有适当地验证参数,而可能导致部分档案遭到泄漏的CVE-2020-13298也已经被解决。新版本也限制了未授权的专案维护者,无法编辑子群组的标志。
有一项内部调查显示,GitLab的Wiki容易受到解析器攻击,进而禁止任何人透过使用者介面存取Wiki功能,官方顺道在新版本一并解决。另外,开发团队也修复了数个GitLab登入方面的漏洞,像是在部分情况下,GitLab无法正确撤销用户对话的CVE-2020-13302,与允许恶意人士使用旧密码存取用户帐户的CVE-2020 -13302,还有GitLab Omniauth端点可被篡改的CVE-2020-13314,允许恶意人士提交要传送回给用户的错误讯息,这些错误都已经被修正。
发表评论
文章分类
联系我们
联系人:薛先生
QQ:753391279
邮箱:xuecaijie@cnezsoft.com
喧喧开源IM群:367833155