开发者常使用的GitLab开发平台,在3月31日的公告,他们发布3个新版本,适用于社群版(Community Edition, CE)及企业版(Enterprise Edition, EE),分别是13.10.1、13.9.5及13.8.7。在这些版本中,皆有安全性修补程序,所以GitLab强烈建议立即更新。
在这次的更新公告其中,可以看到共有10个漏洞,由风险程度来区分,有1个重大风险、1个高度风险、3个中度风险、3个低度风险。
而其中,重大风险关于,在项目输入期间读取任意文件,这个漏洞在13.9版本开始发现有这个漏洞,可能有特别导入的文件可读取服务器中的文件,CVSS风险评分高达9.6。
再来,是高度风险的漏洞,则是发现在13.7.9之后的所有版本,如果攻击者导入特殊的维基页面,就会在服务器中读取文件,此漏洞的CVSS风险评分分数为7.5。
接着,关于中度严重性漏洞,有3个,个别是整合请求中存储跨网站脚本,以匿名用户通过公开项目的fork指令访问内部项目资料,及任何用户皆可删除事件度量图片。三者的CVSS风险评分是6.3、5.9及4.3。
