GitLab發布安全更新,修補可能導致執行任意JavaScript程式碼、拒絕服務攻擊的多項重大漏洞
漏洞概述
全球主要DevOps開發平臺之一的GitLab,近日發布更新,修補Community Edition(CE)與Enterprise Edition(EE)版的25項漏洞,包含多項重大漏洞,可能導致駭客得以執行任意JavaScript程式碼,或是發動拒絕服務攻擊。
修補版本資訊
- GitLab建議採用自行管理(self-managed)版本的用戶,儘速升級到已修補的18.11.3、18.10.6與18.9.7等版本。
- 雲端版GitLab.com服務則已完成更新。
- 先前版本如17.1.1、17.0.3和16.11.5亦已發布以修補相關漏洞。
影響範圍與建議
此漏洞可能導致攻擊者以其他使用者身分運行管道,或修改安全設定,進而執行任意程式碼,影響系統範圍涵蓋GitLab Community Edition(CE)與Enterprise Edition(EE)。
相關安全公告
GitLab已多次發布安全更新,針對遠端執行任意程式碼、拒絕服務(DoS)、CI/CD注入等問題進行修補,並強調用戶應儘速升級至最新版本以確保系統安全。