Etusivu: Kyberturvallisuuskeskus
Etusivu: Kyberturvallisuuskeskus
Valikko

Kriittinen haavoittuvuus GitLabin Community Edition ja Enterprise Edition tuotteissa

Haavoittuvuus7/2023CVSS 10CVE-2023-2825 (Ulkoinen linkki)

GitLab on julkaissut päivityksen Community Edition (CE) ja Enterprise Edition (EE) tuotteissa olevaan kriittiseen haavoittuvuuteen. Korjaava versiopäivitys kannattaa asentaa mahdollisimman pian.

Tiedostopolun käsittelyyn liittyvällä haavoittuvuudella hyökkääjä pystyy lukemaan haavoittuvasta järjestelmästä haluamiaan tiedostoja. Haavoittuvuus koskee ainoastaan tuotteiden 16.0.0 versiota, eikä siis koske aiempia versioita. Haavoittuvuuden hyväksikäyttö vaatii myös, että GitLab järjestelmässä on tietyllä tavalla konfiguroitu julkinen projekti.

Kohde

  • Palvelimet ja palvelinsovellukset

Hyökkäystapa

  • Etäkäyttö
  • Ilman käyttäjän toimia
  • Ilman kirjautumista

Vaikutukset

  • Luottamuksellisen tiedon hankkiminen

Hyväksikäyttömenetelmä tiedossa

  • Haavoittuvuuden havainnollistava esimerkkikoodi

Ratkaisu

  • Korjaava ohjelmistopäivitys

Haavoittuvat ohjelmistot

GitLab Community Edition (CE) ja Enterprise Edition (EE) tuotteiden versio 16.0.0. 

Ratkaisu- ja rajoitusmahdollisuudet

Päivitä GitLab versioon 16.0.1.