“GitLab警告关键管道执行漏洞”-计算机蜂鸣

https://www.bleepingcomputer.com/news/security/gitlab-warns-of-critical-pipeline-execution-vulnerability/#：~：text=The%20severity%20of%20the%20flaw，17.3%20prior%20to%2017.3.2.

GitLab发布了关键更新来解决多个漏洞，其中最严重的漏洞(CVE-2024-6678)允许攻击者在特定条件下以任意用户的身份触发管道。

该版本适用于GitLab社区版(CE)和企业版(EE)的17.3.2、17.2.5和17.1.7版，并作为双月(计划)安全更新的一部分，总共修补了18个安全问题。

严重严重性分数为9.9的CVE-2024-6678漏洞可让攻击者以停止操作作业的所有者身份执行环境停止操作。

该漏洞的严重性来自其远程攻击的可能性、缺乏用户交互以及利用该漏洞所需的低权限。

GitLab警告说，该问题会影响从8.14到17.1.7的CE/EE版本、从17.2到17.2.5的版本，以及17.3.2之前的17.3和17.3版本。

GitLab管道是用于构建、测试和部署代码的自动化工作流，是GitLab CI/CD(持续集成/持续交付)系统的一部分。

它们旨在通过自动化重复性任务并确保对代码库的更改得到一致的测试和部署来简化软件开发过程。

GitLab在最近几个月多次解决了任意管道执行漏洞，包括在2024年7月，修复CVE-2024-6385，在2024年6月，修复CVE-2024-5655，并在2023年9月修复CVE-2023-5009，所有这些都被评为关键。

该公告还列出了四个得分在6.7-8.5之间的高严重性问题，这些问题可能会允许攻击者中断服务、执行未经授权的命令或危害敏感资源。问题摘要如下：

有关更新说明、源代码和包，请查看GitLab的官方下载门户。这里提供了最新的GitLab Runner程序包。