「嚴重的GitLab漏洞讓攻擊者以任何用户的身份運行管道」--嗶嗶的計算機

https://www.bleepingcomputer.com/news/security/critical-gitlab-bug-lets-attackers-run-pipelines-as-any-user/

一個嚴重漏洞正在影響某些版本的GitLab社區和企業版產品，可利用該漏洞以任何用户身份運行管道。

GitLab是一個流行的基於Web的開源軟件項目管理和工作跟蹤平臺。據估計，它有100萬活躍的許可證用户。

在最新更新中解決的安全問題被跟蹤為CVE-2024-5655，其嚴重性分數為9.6(滿分10分)。在供應商未定義的某些情況下，攻擊者可以利用它以其他用户的身份觸發管道。

GitLab管道是持續集成/持續部署(CI/CD)系統的一項功能，使用户能夠自動並行或按順序運行流程和任務，以構建、測試或部署代碼更改。

該漏洞影響從15.8到16.11.4、17.0.0到17.0.2以及17.1.0到17.1.0的所有GitLab CE/EE版本。

「我們強烈建議所有運行受以下問題影響的版本的安裝儘快升級到最新版本」-GitLab

GitLab已通過發佈版本17.1.1、17.0.3和16.11.5解決了該漏洞，並建議用户儘快應用更新。

供應商還告知，升級到最新版本會帶來兩個突破性變化，用户應該注意：

最新的GitLab更新還為其他13個問題引入了安全修復，其中3個問題的嚴重程度被評為「高」(CVSS v3.1得分：7.5-8.7)。這三項總結如下：

GitLab更新的資源可以在這里找到，而GitLab Runner指南可以在這個頁面上找到。