취약점 개요
깃랩은 커뮤니티 에디션(CE)과 엔터프라이즈 에디션(EE)에서 워크스페이스 생성 시 임의의 파일을 작성하는 데 사용될 수 있는 중대한 보안 취약점을 수정하는 보안 패치를 다시 한 번 릴리스했습니다.
이 취약점 번호는 CVE-2024-0402CVSS 점수는 10점 만점에 9.9점입니다.
2024년 1월 25일에 게시된 공지사항에서 GitLab은 "16.5.8, 16.6.6, 16.7.4, 16.8.1 이하의 모든 버전에 영향을 미치는 GitLab CE/EE에서 인증된 사용자가 GitLab 작업 영역 생성 서버의 임의 위치에 파일을 쓸 수 있는 문제가 발견되었습니다. 서버의 임의 위치에 파일을 쓸 수 있습니다."
영향을 받는 버전
- 16.5.8, 16.6.6, 16.7.4 및 16.8.1 이하의 모든 GitLab CE/EE 버전
안전 위험
- 이 취약점을 성공적으로 익스플로잇한 공격자는 GitLab 서버에 임의의 파일을 작성하여 악성 코드를 심거나, 민감한 데이터를 훔치거나, 시스템을 불안정하게 만들 수 있습니다.
복원 프로그램
- 지금 바로 취약점을 수정한 버전으로 GitLab 인스턴스를 업그레이드하세요:
- GitLab CE/EE 16.5.8
- GitLab CE/EE 16.6.6
- GitLab CE/EE 16.7.4
- GitLab CE/EE 16.8.1
- 즉각적인 업그레이드가 불가능한 경우 다음과 같은 완화 조치를 취하세요:
- 작업 공간을 만들 수 있는 사용자의 권한을 제한합니다.
- 시스템 활동을 면밀히 모니터링하고 의심스러운 행동에 대해 조치를 취하세요.
原创文章,作者:首席安全官,如若转载,请注明出处:https://cncso.com/kr/gitlab-workspace-creation-vulnerability-allows-file-overwrite.html
