CVE-2023-5009
Veikleikinn hefur CVSSv3 skor upp á 9.6 og hefur áhrif á Gitlab Community Edition (CE) og Gitlab Enterprise Edition (EE). Hann felst í því að hægt er að villa á sér heimildir í sjálfvirkum ferlum (pipeline tasks) og komast þannig í upplýsingar sem aðrir notendur hafa aðgang að eða keyra kóða með réttindum annara notenda [1,2]. Gitlab hvetur til uppfærlsu sem fyrst í útgáfur sem ekki eru háðar veikleikanum og mótvægisaðgerðum þar sem uppfærslur eru ekki í boði.
Eftirfarandi útgáfur eru háðar veikleikanum
- Gitlab (CE og EE) – 16.2.6 og eldri
- Gitlab (CE og EE) – 16.3.3 og eldri
Veikleikinn hefur verið lagfærður í eftirfarandi útgáfum
- Gitlab (CE og EE) – 16.2.7
- Gitlab (CE og EE) – 16.3.4
Mótvægisaðgerðir
Þeim sem nota útgáfur eldri en 16.2 og hafa ekki fengið öryggisuppfærslu er bent á mótvægisaðgerðir. Þær eru að hafa ekki stillingarnar ‘Direct transfers’ og ‘Security policies’ virkar á sama tíma [1].
