کشف آسیب‌پذیری حیاتی در Gitlab و به‌روزرسانی امنیتی آن

نسخه‌های ۱۳.۱۰.۳، ۱۳.۹.۶ و ۱۳.۸.۸ برای GitLab Community Edition یا CE و Enterprise Edition یا EE منتشر شده‌اند. این نسخه‌ها حاوی اصلاحیه‌های امنیتی مهمی هستند و به تمام افرادی که از GitLab استفاده می‌کنند، پیشنهاد می‌شود که این برنامه را بدون وقفه به یکی از این نسخه‌ها ارتقا دهند.

GitLab برای چندین آسیب‌پذیری امنیتی Patchهایی را منتشر کرده است. دو نوع انتشار امنیتی وجود دارد: انتشار امنیتی ماهانه و با برنامه‌ریزی که یک هفته پس از انتشار ویژگی (که در روز بیست‌ودوم هر ماه پیاده‌سازی می‌گردد) منتشر می‌شود و انتشار امنیتی Ad-Hoc برای آسیب‌پذیری‌های حیاتی.

GitLab متعهد است که تمام جنبه‌هایی از GitLab که در دسترس مشتریان قرار دارند یا میزبان داده‌های مشتریان هستند، دارای بالاترین استانداردهای امنیتی باشند. برای حفظ بهترین وضعیت امنیتی ممکن، پیشنهاد می‌شود که تمام مشتریان نرم‌افزار خود را به آخرین نسخه‌ی امنیتی ارتقا دهند.

جدول اصلاحات

 

نام شدت
اجرای کد از راه دور در هنگام آپلود کردن فایل‌های تصویری که به‌طور مخصوص ایجاد شده‌اند حیاتی
Update Rexml آپدیت Dependency – حیاتی

 

اجرای کد از راه دور در هنگام آپلود کردن فایل‌های تصویری که به‌طور مخصوص ایجاد شده‌اند

مشکلی در GitLab CE/EE کشف شده است که روی تمام نسخه‌های از ۱۱.۹ به بعد تأثیرگذار است.  GitLab با عدم اعتبارسنجی درست فایلهای تصویری و ارسال آنها به یک تجزیه‌کننده فایل، امکان اجرای دستور از راه دور را فراهم می‌کرد. این یک مشکل حیاتی محسوب می‌شود (AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H, 9.9). اکنون این مشکل رفع شده است و کد CVE-2021-22205 به آن تعلق گرفته است.

اصلاح آسیب‌پذیری

قویاً پیشنهاد می‌شود که تمام افرادی که نسخه‌های تحت تأثیر را اجرا می‌کنند در سریع‌ترین زمان ممکن برنامه‌ی خود را به آخرین نسخه ارتقا دهند.

Update Rexml

Rexml ruby gem به نسخه‌ی ۳.۲.۵ ارتقا داده شد تا CVE-2021-28965 اصلاح گردد.

نسخه‌های تحت تأثیر آسیب‌پذیری

نسخه‌ی ۷.۱۲ و جدیدتر.

منبع:

 https://about.gitlab.com/releases/2021/04/14/security-release-gitlab-13-10-3-released

ایمیل خود را وارد کنید و عضو خبرنامه شوید.

محصولات شرکت

سامانه مدیریت یکپارچه تهدیدات
سامانه مرورگر امن (RBI)
سامانه مدیریت وقایع و امنیت اطلاعات

جهت ثبت درخواست همین حالا فرم را تکمیل نمایید.

با تکمیل فرم و ارسال درخواست خود، همکاران و کارشناسان ما در اسرع وقت با شما تماس خواهند گرفت.

Start typing to see posts you are looking for.

جهت ثبت درخواست همین حالا فرم را تکمیل نمایید.

با تکمیل فرم و ارسال درخواست خود، همکاران و کارشناسان ما در اسرع وقت با شما تماس خواهند گرفت.

جهت دانلود کاتالوگ شرکت همین حالا فرم را تکمیل نمایید.

جهت دانلود گزارش امنیتی 2023 همین حالا فرم را تکمیل نمایید.