GitLab發布安全更新修復竊取信息漏洞，敦促用戶盡快安裝

IT之家 9 月 20 日消息，GitLab 近日發布了安全更新，修復了一個“關鍵”級別的高危漏洞，，并敦促用戶盡快升級。據悉 GitLab 社區版（CE）和企業版（EE），從 13.12 到 16.2.7 此前版本、16.3.4 此前的 16.3 版本均受影響。

這個漏洞由安全研究人員和漏洞獵人 Johan Carlsson 發現，最初是一個中等嚴重的漏洞，追蹤編號為 CVE20233932，官方于 8 月進行修復。

不過研究人員發現了新的方法了繞過保護，并驗證了可以施加額外的影響，最新追蹤編號為 CVE20234998，在 CVSS 3.1 版本中得分為 9.6 分（滿分 10 分，分數越高越危險）。

攻擊者在用戶不知情且沒有權限的情況下，冒充用戶進行管道任務（一系列自動化任務），從而獲取敏感信息，或者冒充用戶的權限來運行代碼、修改數據或觸發 GitLab 系統中的特定事件。

GitLab 社區和企業版 16.3.4 和 16.2.7 版本目前已經修復 CVE20234998 漏洞，GitLab 敦促用戶盡快升級。

IT之家注：GitLab 是一個開源的版本控制和項目管理工具，其分為兩個版本：社區版和企業版。

社區版是免費的，可以在自己的服務器上部署。它提供了一些基本的版本控制和項目管理功能，如源代碼管理、問題跟蹤、代碼評審、持續集成和部署等。

企業版是收費的，需要在 GitLab 官方服務器上部署。它比社區版提供了更多的高級功能，如高級安全性、更方便的管理、內部代碼庫、更多的管理選項和報告等。