GitLab vo štvrtok oznámil nové kolo kritických bezpečnostných aktualizácií, ktoré riešia osem zraniteľností vo vydaniach Community Edition (CE) a Enterprise Edition (EE), vrátane dvoch chýb.
Najzávažnejšou z chýb je CVE-2024-9164 (CVSS skóre 9,6) a potom kritická chyba v GitLab EE a CVE-2024-8970 (CVSS skóre 8,2)
Zraniteľnosť s kritickou závažnosťou ovplyvňuje verzie GitLab EE 12.5 až 17.2.8, 17.3 až 17.3.4 a 17.4 až 17.4.1, zatiaľ čo táto veľmi závažná chyba ovplyvňuje verzie GitLab CE/EE 11.6 až 17.2.3 až 17.3.3, 17.17. 4 a 17.4 až 17.4.1.
GitLab opravil aj veľmi závažnú chybu falšovania požiadaviek na strane servera (SSRF) v inštanciách GitLab EE s nakonfigurovaným a povoleným panelom Product Analytics Dashboard a chybu skriptovania medzi stránkami (XSS) v GitLab, kde „môže byť nová aplikácia vytvorený na vykreslenie ako HTML za špecifických okolností“ pri autorizácii.
Dôrazne odporúčame, aby boli všetky inštalácie s verziou ovplyvnenou problémami popísanými vyššie čo najskôr inovované na najnovšiu verziu.
Ďalšie informácie je možné nájsť na stránkach:
https://www.securityweek.com/gitlab-patches-pipeline-execution-ssrf-xss-vulnerabilities
https://about.gitlab.com/releases/2024/10/09/patch-release-gitlab-17-4-2-released