GitLab发布重要安全更新,修补XSS与AWS账号接管漏洞

GitLab对社群与企业发布最新13.3.4、13.2.8和13.1.10更新版本,以修复一系列重要漏洞,范畴包括可能泄露文件和信息、未经授权访问或是特权升级等问题,官方敦促用户应该尽快升级,避免受到恶意入侵。

官方在新版本修复了网页上存在的存储XSS漏洞CVE-2020-13301;还有GitLab EKS的集成,可能受到供应商跨账户角色假设攻击CVE-2020-13318,可能允许恶意人士执行特权访问,甚至是使用户的AWS账户遭到接管。

官方还修复了多个与非法访问有关的漏洞,像是之前的版本,允许黑客重复使用已经过期的令牌,访问未经授权的资源,该漏洞CVE- 2020-13284也已经在最新版本中被修复。而Conan组件的上传功能,因为没有适当地验证参数,而可能导致部分文件遭到泄露的CVE-2020-13298也已经被解决。新版本也限制了未授权的项目维护者,无法编辑子群组的标志。

有一项内部调查显示,GitLab的Wiki容易受到解析器攻击,进而禁止任何人通过用户接口访问Wiki功能,官方顺道在新版本一并解决。另外,开发团队也修复了数个GitLab登录方面的漏洞,像是在部分情况下,GitLab无法正确撤销用户对话的CVE-2020-13302,与允许恶意人士使用旧密码访问用户账户的CVE-2020 -13302,还有GitLab Omniauth端点可被篡改的CVE-2020-13314,允许恶意人士提交要发送回给用户的错误消息,这些错误都已经被修正。

发表评论