شناسایی و وصله ی چندین آسیب پذیری در GitLab

gitlab

به تازگی چندین آسیب پذیری در GitLab CE/EE یافت شده است که برخی از آن ها به مهاجم اجازه می دهند که منجر به انکار سرویس (DoS) شده یا بتوانند خط مشی امنیتی را دور بزنند و یا اصل محرمانه بودن دیتاها را نقض کنند و یا بتوانند از راه دور به طور غیر مستقیم کد دلخواه را تزریق کنند(XSS). جدول زیر نواقص شناسایی و وصله شده در GitLab را نشان می دهد:

نسخه های تحت تاثیر شناسه

 آسیب پذیری

شرح آسیب پذیری ردیف
GitLab EE/CE 8.5 and later Arbitrary File Read when Moving an Issue 1
GitLab EE 11.7 and later CVE-2020-10953 Path Traversal in NPM Package Registry 2
؟ CVE-2020-10956 SSRF on Project Import 3
؟ External Users Can Create Personal Snippet 4
GitLab EE/CE 9.0 and later Triggers Decription Can be Updated by Other Maintainers in Project 5
GitLab EE/CE 8.11 and later Information Disclosure on Confidential Issues Moved to Private Programs 6
؟ CVE-2020-10954 Potential DoS in Repository Archive Download 7
GitLab EE/CE 8.11 and later CVE-2020-10952 Blocked Users Can Still Pull/Push Docker Images 8
؟ Repository Mirroring not Disabled when Feature not Activated 9
GitLab EE/CE 10.8 and later Vulnerability Feedback Page Was Leaking Information on Vulnerabilities 10
؟ Stored XSS Vulnerability in Admin Feature 11
GitLab EE/CE 11.1 and later CVE-2020-10955 Upload Feature Allowed a User to Read Unauthorized Exported Files 12
GitLab EE/CE 11.10 and later Unauthorized Users Are Able to See CI Metrics 13
GitLab EE/CE 8.17 and later Last Pipeline Status of a Merge Request Leaked 14
GitLab EE/CE 8.0 and later Blind SSRF on FogBugz 15
all previous versions of GitLab CE/EE CVE-2020-9795 Update Nokogiri dependency به روزرسانی ها
all previous versions of GitLab CE/EE CVE-2019-20454 Update Pcre2 dependency

شناسه های آسیب پذیری که با علامت مشخص شده اند تاکنون منتشر نشده است

نسخه های متاثر که با علامت ؟ مشخص شده اند تاکنون اعلام نشده است

 

راه حل :

GitLab به تازگی نسخه های 12.9.1 ، 12.8.8 و 12.7.8 را برای

  • GitLab Community Edition (CE)
  • GitLab Enterprise Edition (EE)

منتشر کرده است و به کاربران خود خواسته است تا محصولات خود را به آخرین نسخه ها بروزرسانی کنند.

منبع :

https://about.gitlab.com/releases/2020/03/26/security-release-12-dot-9-dot-1-released/

بازگو شده از : مرکز ماهر

اخبار

CVE-2019-20454CVE-2020-10952CVE-2020-10953CVE-2020-10954CVE-2020-10955CVE-2020-10956CVE-2020-9795GitLab

Leave a Reply

Your email address will not be published.