Menu

GitLab Patch tháng 11

1. Tổng quan và phân tích

Qua hoạt động theo dõi giám sát diễn biến an toàn thông tin trên không gian mạng, Team CMC Telecom Threat Intelligence đã ghi nhận Gitlab đã phát hành các phiên bản 17.6.1, 17.5.3, 17.5.4 cho Gitlab Community Edition (CE) và Enterprise Edition (EE). Các phiên bản này chứa các bản sửa lỗi bảo mật và lỗi quan trọng.

Lỗ hổng bảo mật được cảnh báo trong bản cập nhật này như sau:

  • CVE-2024-8114: (Privilege Escalation via LFS Tokens) Lỗ hổng cho phép kẻ tấn công có quyền truy cập vào Personal Access Token (Mã thông báo truy cập cá nhân) của người dùng để nâng cao đặc quyền.
  • CVE-2024-8237: (DoS through uncontrolled resource consumption when viewing a maliciously crafted cargo.toml file) Lỗ hổng cho phép kẻ tấn công có thể gây ra sự từ chối dịch vụ bằng tệp toml được tạo thủ công.
  • CVE-2024-11669 (Unintended Access to Usage Data via Scoped Tokens): Lỗ hổng cho phép kẻ tấn công truy cập trái phép vào dữ liệu nhạy cảm do phạm vi áp dụng mã thông báo quá rộng.
  • CVE-2024-8177: (Gitlab DOS via Harbor registry integration) Lỗ hổng có thể gây ra việc tấn công từ chối dịch vụ quá việc tích hợp các harbor registry độc hại.
  • CVE-2024-11828: (Resource exhaustion and denial of service with test_report API calls) Lỗ hổng cho phép kẻ tấn công có thể tấn công từ chối dịch vụ DoS bằng cách gửi các lệnh gọi API thủ công.
  • CVE-2024-11668: (Streaming endpoint did not invalidate tokens after revocation) Lỗ hổng cho phép kẻ tấn công truy cập trái phép vào kết quả phát trực tuyến.

2. Ảnh hưởng và giảm thiểu rủi ro

  • Thực hiện cập nhật lên các phiên bản 6.1, 17.5.3, 17.5.4 cho Gitlab Community Edition (CE) và Enterprise Edition (EE) đối với các phiên bản Gitlab bị ảnh hưởng bởi các lỗ hổng trên.
  • Điều kiện khai thác lỗ hổng: Hệ thống sử dụng các phiên bản Gitlab bị ảnh hưởng bởi lỗ hổng bảo mật.
  • Đối với CVE-2024-8114: Kẻ tấn công cần có quyền truy cập vào Personal Access Token (PAT) của nạn nhân.
  • Đối với CVE-2024-8237: Kẻ tấn công cần tải lên hoặc can thiệp vào tệp cargo.toml trong hệ thống GitLab để thực hiện tấn công DoS.

3. Liên quan

 

Post Navigation

Vulnerability Github CLI: CVE-2024-52308

CVE-2024-42327: SQL Injection Vulnerability in Zabbix API

Related Posts:

Critical Security Flaws Discovered in Jenkins Created

Multiple vulnerabilities in PHP

Stealthy Cyberattack Converts Visual Studio Code into a Remote Access Tool

Leave a reply:

Your email address will not be published.

Sliding Sidebar

About Me

About Me

Our information security team comes from CMC Telecom. We focus on security research and developing security solutions. We protect CMC Telecom important infrastructure and provide services related to Offensive & Managed Security Service to our customers.

Social Profiles

Recent Posts