极狐 GitLab 专家团队支招解决 CVE-2023-4998 漏洞问题
漏洞概述
2023 年 9 月 18 日 GitLab Inc. 官方发布安全更新,披露了 CVE-2023-4998 安全漏洞。
漏洞详情:CVE-2023-4998;
GitLab Inc.官方安全更新补丁:GitLab Critical Security Release: 16.3.4 and 16.2.7
漏洞 CVE-2023-4998 影响范围
CVE-2023-4998 影响范围从 GitLab 13.12 开始,影响范围为如下版本:
16.3 <= GitLab(CE/EE/JH)< 16.3.4;
13.12 <= GitLab(CE/EE/JH)< 16.2.7。
漏洞出处
Joaxcar 通过 HackerOne 漏洞赏金计划报告此漏洞。
漏洞问题根因
身份认证绕过漏洞,经过身份验证的远程攻击者有可能通过计划的安全扫描策略以任意用户身份运行管道。
漏洞问题解决
对于 GitLab 私有化部署版的用户,通过将原有的 GitLab CE/EE/JH 升级至极狐 GitLab16.3.4、16.2.7 版本即可修复该漏洞。
对于 SaaS 用户(jihulab.com),无需进行任何操作,我们已经升级 SaaS 以修复该漏洞。
极狐 GitLab 技术支持
极狐 GitLab 技术支持团队对付费客户提供全面的技术支持,您可以通过https://support.gitlab.cn/#/portal/myticket 将问题提交。
版权声明: 本文为 InfoQ 作者【极狐GitLab】的原创文章。
原文链接:【http://xie.infoq.cn/article/eb7685a610a2bb37a043718ae】。
本文遵守【CC BY-NC】协议,转载请保留原文出处及本版权声明。
开源开放,人人贡献 2021-05-19 加入
开放式一体化DevOps平台,助力行业高速协同增长!
评论