GitLab publikuje aktualizacje dla swoich produktów. (P24-397)

cert.pse-online.pl 11 miesięcy temu

1. GitLab

Produkt	GitLab Community Edition (CE) – wersje wcześniejsze niż 17.4.5, 17.5.3 i 17.6.1 GitLab Enterprise Edition (EE) – wersje wcześniejsze niż 17.4.5, 17.5.3 i 17.6.1
Numer CVE	CVE-2024-8114
Krytyczność	8.2/10
CVSS	AV:N/AC:H/PR:L/UI:N/S:C/C:H/I:H/A:N
Opis	Problem ten umożliwia atakującemu, który ma dostęp do osobistego tokena dostępu (PAT) ofiary, podniesienie uprawnień.

Numer CVE	CVE-2024-8237
Krytyczność	6.5/10
CVSS	AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H
Opis	Odkryto problem Denial of Service (DoS) w GitLab CE. Atakujący może spowodować odmowę usługi dzięki spreparowanego pliku cargo.toml.

Numer CVE	CVE-2024-11669
Krytyczność	6.5/10
CVSS	AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:N
Opis	Niektóre punkty końcowe interfejsu API mogą potencjalnie umożliwiać nieautoryzowany dostęp do poufnych danych ze względu na zbyt szerokie zastosowanie zakresów tokenów.

Numer CVE	CVE-2024-8177
Krytyczność	5.3/10
CVSS	AV:N/AC:H/PR:L/UI:N/S:U/C:N/I:N/A:H
Opis	Odkryto problem w GitLab CE/EE, który może spowodować odmowę usługi poprzez integrację złośliwego rejestru portów.

Numer CVE	CVE-2024-11828
Krytyczność	4.3/10
CVSS	AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:L
Opis	Odkryto stan odmowy usługi (DoS) w GitLab CE. Wykorzystując tę lukę, atakujący może stworzyć stan DoS, wysyłając spreparowane wywołania API

Numer CVE	CVE-2024-11668
Krytyczność	4.2/10
CVSS	AV:N/AC:H/PR:L/UI:N/S:U/C:L/I:L/A:N
Opis	Odkryto problem w GitLab CE/EE. Długotrwałe połączenia mogą potencjalnie ominąć kontrolę uwierzytelniania, umożliwiając nieautoryzowany dostęp do wyników przesyłania strumieniowego.

Aktualizacja	TAK
Link	https://about.gitlab.com/releases/2024/11/26/patch-release-gitlab-17-6-1-released/#privilege-escalation-via-lfs-tokens