2024年1月30日,网上公开披露了一个标注为相对路径遍历的GitLab workspace任意文件写入漏洞(CVE-2024-0402),GitLab是基于Git的集成软件开发平台,workspace是GitLab中用于运行隔离开发环境的虚拟沙箱,请各位用户尽快安装漏洞补丁。
漏洞风险:GitLab 受影响版本中在用户创建 workspace 时由于未对配置文件devfile中的特殊字符(如:<、>等)有效过滤,经过身份验证的攻击者可在 GitLab 服务器中任意位置写入恶意文件,进而远程执行任意代码。
风险等级:高风险。
影响范围:
gitlab@[16.0, 16.5.8)
gitlab@[16.6, 16.6.6)
gitlab@[16.7, 16.7.4)
gitlab@[16.8, 16.8.1)
gitlab@影响所有版本
gitlab@影响所有版本
修复建议:
将 gitlab 升级至 16.6.6 及以上版本
将 gitlab 升级至 16.7.4 及以上版本
将 gitlab 升级至 16.8.1 及以上版本
将 gitlab 升级至 16.5.8 及以上版本
进行安全更新方法:
https://about.gitlab.com/releases/2024/01/25/critical-security-release-gitlab-16-8-1-released/#arbitrary-file-write-while-creating-workspace
