GitLab publikuje aktualizacje dla swoich produktów. (P24-314)

cert.pse-online.pl 1 rok temu

Produkt	GitLab Community Edition (CE) – wersje wcześniejsze niż 4.1, 17.3.4, 17.2.8, 16.10.10, 16.9.11, 16.8.10, 16.7.10, 16.6.10, 16.5.10, 16.4.7, 16.3.9, 16.2.11, 16.1.8 and 16.0.10 GitLab Enterprise Edition (EE) – wersje wcześniejsze niż 17.4.1, 17.3.4, 17.2.8, 16.10.10, 16.9.11, 16.8.10, 16.7.10, 16.6.10, 16.5.10, 16.4.7, 16.3.9, 16.2.11, 16.1.8 and 16.0.10
Numer CVE	CVE-2024-4278
Krytyczność	4.8/10
CVSS	AV:N/AC:L/PR:H/UI:N/S:C/C:L/I:L/A:N/E:U/RL:O/RC:C
Opis	Luka istnieje z powodu nadmiernego wyprowadzania danych przez aplikację. Zdalny administrator może edytować pewne ustawienie Dependency Proxy dzięki żądania POST i uzyskać hasło Dependency Proxy.

Numer CVE	CVE-2024-4099
Krytyczność	2.7/10
CVSS	AV:N/AC:H/PR:N/UI:R/S:U/C:N/I:L/A:N/E:U/RL:O/RC:C
Opis	Luka istnieje, ponieważ funkcja AI odczytuje nieoczyszczoną zawartość. Zdalny atakujący może ukryć natychmiastowe wstrzyknięcie.

Numer CVE	CVE-2024-8974
Krytyczność	2.3/10
CVSS	AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C
Opis	Luka istnieje, ponieważ odniesienie do projektu może zostać ujawnione w notatkach systemowych. Zdalny użytkownik może uzyskać nieautoryzowany dostęp do poufnych informacji w systemie.

Numer CVE	CVE-2024-45409
Krytyczność	9.8/10
CVSS	AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Opis	Biblioteka Ruby SAML służy do implementacji strony klienta autoryzacji SAML. Ruby-SAML w <= 12.2 i 1.13.0 <= 1.16.0 nie weryfikuje prawidłowo podpisu odpowiedzi SAML. Nieuwierzytelniony atakujący z dostępem do dowolnego podpisanego dokumentu SAML (przez IdP) może zatem sfałszować odpowiedź/potwierdzenie SAML o dowolnej zawartości. Pozwoliłoby to atakującemu zalogować się jako dowolny użytkownik w podatnym systemie.

Aktualizacja	TAK
Link	https://about.gitlab.com/releases/2024/09/25/patch-release-gitlab-17-4-1-released/ https://about.gitlab.com/releases/2024/09/25/patch-release-gitlab-16-10-10-released/