漏洞名称:
GitLab 身份认证绕过漏洞(CVE-2023-4998)
组件名称:
GitLab CE/EE
影响范围:
13.12 <= GitLab CE < 16.2.7
13.12 <= GitLab EE < 16.2.7
16.3 <= GitLab EE < 16.3.4
16.3 <= GitLab EE < 16.3.4
漏洞类型:
未授权访问
利用条件:
1、用户认证:否
2、前置条件:默认配置
3、触发方式:远程
综合评价:
<综合评定利用难度>:容易,需要授权。
<综合评定威胁等级>:严重,能越权访问管道,造成敏感信息泄露。
官方解决方案:
已发布
漏洞分析
组件介绍
Gitlab是目前被广泛使用的基于git的开源代码管理平台, 基于Ruby on Rails构建, 主要针对软件开发过程中产生的代码和文档进行管理。
漏洞简介
2023年9月22日,深信服安全团队监测到一则Gitlab组件存在未授权访问漏洞的信息,漏洞编号:(CVE-2023-4998),漏洞威胁等级:严重。
该漏洞是由于Gitlab的管道功能存在缺陷, 经过身份认证的攻击者,可以借助预定义的安全扫描策略以任意用户的身份运行管道任务,最终造成服务器敏感性信息泄露。
影响范围
目前受影响的GitLab CE/EE版本:
13.12 <= GitLab CE < 16.2.7
13.12 <= GitLab EE < 16.2.7
16.3 <= GitLab EE < 16.3.4
16.3 <= GitLab EE < 16.3.4
解决方案
官方修复建议
当前官方已发布最新版本,建议受影响的用户及时更新升级到最新版本。链接如下:
https://gitlab.cn/install/
深信服解决方案
1.风险资产发现
支持对Gitlab组件的主动检测,可批量检出业务场景中该事件的受影响资产情况,相关产品如下:
【深信服云镜YJ】已发布资产检测方案。
2.漏洞主动检测
支持对Gitlab未授权访问漏洞的主动检测,可批量快速检出业务场景中是否存在漏洞风险,相关产品如下:
【深信服云镜YJ】预计2023年9月24日发布检测方案。
【深信服漏洞评估工具TSS】预计2023年9月25日发布检测方案。
【深信服安全托管服务MSS】预计2023年9月24日发布检测方案。
【深信服安全检测与响应平台XDR】预计2023年9月24日发布检测方案。
参考链接
https://about.gitlab.com/releases/2023/09/18/security-release-gitlab-16-3-4-released/
时间轴
2023/9/22
深信服监测到GitLab 身份认证绕过漏洞(CVE-2023-4998)信息。
2023/9/22
深信服千里目安全技术中心发布漏洞通告。
点击阅读原文,及时关注并登录深信服智安全平台,可轻松查询漏洞相关解决方案。
如有侵权请联系:admin#unsafe.sh