CVE-2024-9693:GitLab为Kubernetes代理发布关键补丁

阅读量34312

发布时间 : 2024-11-14 14:19:43

x
译文声明

本文是翻译文章,文章原作者 do son,文章来源:securityonline

原文地址:https://securityonline.info/cve-2024-9693-gitlab-issues-critical-patch-for-kubernetes-agent/

译文仅供参考,具体内容表达以及含义原文为准。

CVE-2024-9693

GitLab 发布了一个关键安全更新,解决了一个可能导致未经授权访问 Kubernetes 集群的高严重性漏洞。社区版(CE)和企业版(EE)的 17.5.2、17.4.4 和 17.3.7 版共修补了六个安全漏洞,包括关键的 Kubernetes 问题和其他几个中等严重性的漏洞。

最严重的漏洞(CVE-2024-9693)允许在特定配置下未经授权访问集群中的 Kubernetes 代理。GitLab 安全公告警告说:“这是一个高严重性问题(CVSS 8.5)。该漏洞是由 GitLab 团队成员 Tiger Watson 在内部发现的。”

除了 Kubernetes 漏洞,GitLab 还修补了其他几个漏洞,包括

  • 设备 OAuth 流量漏洞 (CVE-2024-7404): 该漏洞可让攻击者以受害者身份获得完整的 API 访问权限。
  • 拒绝服务 (DoS) 漏洞: 使用 Fogbugz 导入器导入恶意制作的内容可能会触发拒绝服务。
  • 存储 XSS 漏洞 (CVE-2024-8648): 攻击者可通过特制 URL 向分析仪表板注入恶意 JavaScript 代码。
  • HTML 注入漏洞 (CVE-2024-8180): 如果未启用内容安全策略 (CSP),不正确的输出编码可能导致跨站点脚本 (XSS) 攻击。
  • 信息披露漏洞 (CVE-2024-10240): 未经身份验证的用户可能会在特定情况下读取私有项目中的合并请求信息。
    GitLab 敦促所有用户立即将其自主管理安装升级到最新版本。

“我们强烈建议所有运行受下述问题影响的版本的安装程序尽快升级到最新版本。”

本文翻译自securityonline 原文链接。如若转载请注明出处。
分享到:微信
+10赞
收藏
安全客
分享到:微信

发表评论

内容需知
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 三六零数字安全科技集团有限公司 安全客 All Rights Reserved 京ICP备08010314号-66