به تازگی چندین آسیب پذیری در GitLab CE/EE یافت شده است که برخی از آن ها به مهاجم اجازه می دهند که منجر به انکار سرویس (DoS) شده یا بتوانند خط مشی امنیتی را دور بزنند و یا اصل محرمانه بودن دیتاها را نقض کنند و یا بتوانند از راه دور به طور غیر مستقیم کد دلخواه را تزریق کنند(XSS). جدول زیر نواقص شناسایی و وصله شده در GitLab را نشان می دهد:
نسخه های تحت تاثیر | شناسه
آسیب پذیری |
شرح آسیب پذیری | ردیف |
GitLab EE/CE 8.5 and later | – | Arbitrary File Read when Moving an Issue | 1 |
GitLab EE 11.7 and later | CVE-2020-10953 | Path Traversal in NPM Package Registry | 2 |
؟ | CVE-2020-10956 | SSRF on Project Import | 3 |
؟ | – | External Users Can Create Personal Snippet | 4 |
GitLab EE/CE 9.0 and later | – | Triggers Decription Can be Updated by Other Maintainers in Project | 5 |
GitLab EE/CE 8.11 and later | – | Information Disclosure on Confidential Issues Moved to Private Programs | 6 |
؟ | CVE-2020-10954 | Potential DoS in Repository Archive Download | 7 |
GitLab EE/CE 8.11 and later | CVE-2020-10952 | Blocked Users Can Still Pull/Push Docker Images | 8 |
؟ | – | Repository Mirroring not Disabled when Feature not Activated | 9 |
GitLab EE/CE 10.8 and later | – | Vulnerability Feedback Page Was Leaking Information on Vulnerabilities | 10 |
؟ | – | Stored XSS Vulnerability in Admin Feature | 11 |
GitLab EE/CE 11.1 and later | CVE-2020-10955 | Upload Feature Allowed a User to Read Unauthorized Exported Files | 12 |
GitLab EE/CE 11.10 and later | – | Unauthorized Users Are Able to See CI Metrics | 13 |
GitLab EE/CE 8.17 and later | – | Last Pipeline Status of a Merge Request Leaked | 14 |
GitLab EE/CE 8.0 and later | – | Blind SSRF on FogBugz | 15 |
all previous versions of GitLab CE/EE | CVE-2020-9795 | Update Nokogiri dependency | به روزرسانی ها |
all previous versions of GitLab CE/EE | CVE-2019-20454 | Update Pcre2 dependency |
شناسه های آسیب پذیری که با علامت – مشخص شده اند تاکنون منتشر نشده است
نسخه های متاثر که با علامت ؟ مشخص شده اند تاکنون اعلام نشده است
راه حل :
GitLab به تازگی نسخه های 12.9.1 ، 12.8.8 و 12.7.8 را برای
- GitLab Community Edition (CE)
- GitLab Enterprise Edition (EE)
منتشر کرده است و به کاربران خود خواسته است تا محصولات خود را به آخرین نسخه ها بروزرسانی کنند.
منبع :
https://about.gitlab.com/releases/2020/03/26/security-release-12-dot-9-dot-1-released/
بازگو شده از : مرکز ماهر