نسخههای ۱۳.۱۰.۳، ۱۳.۹.۶ و ۱۳.۸.۸ برای GitLab Community Edition یا CE و Enterprise Edition یا EE منتشر شدهاند. این نسخهها حاوی اصلاحیههای امنیتی مهمی هستند و به تمام افرادی که از GitLab استفاده میکنند، پیشنهاد میشود که این برنامه را بدون وقفه به یکی از این نسخهها ارتقا دهند.
GitLab برای چندین آسیبپذیری امنیتی Patchهایی را منتشر کرده است. دو نوع انتشار امنیتی وجود دارد: انتشار امنیتی ماهانه و با برنامهریزی که یک هفته پس از انتشار ویژگی (که در روز بیستودوم هر ماه پیادهسازی میگردد) منتشر میشود و انتشار امنیتی Ad-Hoc برای آسیبپذیریهای حیاتی.
GitLab متعهد است که تمام جنبههایی از GitLab که در دسترس مشتریان قرار دارند یا میزبان دادههای مشتریان هستند، دارای بالاترین استانداردهای امنیتی باشند. برای حفظ بهترین وضعیت امنیتی ممکن، پیشنهاد میشود که تمام مشتریان نرمافزار خود را به آخرین نسخهی امنیتی ارتقا دهند.
جدول اصلاحات
نام | شدت |
اجرای کد از راه دور در هنگام آپلود کردن فایلهای تصویری که بهطور مخصوص ایجاد شدهاند | حیاتی |
Update Rexml | آپدیت Dependency – حیاتی |
اجرای کد از راه دور در هنگام آپلود کردن فایلهای تصویری که بهطور مخصوص ایجاد شدهاند
مشکلی در GitLab CE/EE کشف شده است که روی تمام نسخههای از ۱۱.۹ به بعد تأثیرگذار است. GitLab با عدم اعتبارسنجی درست فایلهای تصویری و ارسال آنها به یک تجزیهکننده فایل، امکان اجرای دستور از راه دور را فراهم میکرد. این یک مشکل حیاتی محسوب میشود (AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H, 9.9). اکنون این مشکل رفع شده است و کد CVE-2021-22205 به آن تعلق گرفته است.
اصلاح آسیبپذیری
قویاً پیشنهاد میشود که تمام افرادی که نسخههای تحت تأثیر را اجرا میکنند در سریعترین زمان ممکن برنامهی خود را به آخرین نسخه ارتقا دهند.
Update Rexml
Rexml ruby gem به نسخهی ۳.۲.۵ ارتقا داده شد تا CVE-2021-28965 اصلاح گردد.
نسخههای تحت تأثیر آسیبپذیری
نسخهی ۷.۱۲ و جدیدتر.
منبع:
https://about.gitlab.com/releases/2021/04/14/security-release-gitlab-13-10-3-released