【安全资讯】GitLab发布关键安全补丁，修复CVE-2024-6678（CVSS 9.9），敦促立即更新

概要：

GitLab最近发布了一份安全公告，宣布其社区版（CE）和企业版（EE）发布了关键安全补丁。这些补丁修复了多个漏洞，其中一个被分类为“关键”，可能允许攻击者执行任意代码。本文将详细介绍这些关键漏洞及其影响。

主要内容：

最严重的漏洞CVE-2024-6678影响所有从8.14版本到最新修补版本的GitLab CE/EE版本。该漏洞允许攻击者在特定条件下以任意用户身份执行流水线作业。由于其命令注入性质，该漏洞的CVSS评分为9.9，可能导致系统完全被攻陷，允许未经授权的流水线执行并获得提升的权限。

另一个重要漏洞CVE-2024-8640发现于GitLab EE 16.11及以上版本。攻击者可以通过产品分析漏斗的YAML配置注入恶意命令，因为输入过滤不完整。该代码注入漏洞的CVSS评分为8.5，攻击者可以利用此漏洞在连接的Cube服务器上执行未经授权的命令。

CVE-2024-8635是一个服务器端请求伪造（SSRF）漏洞，影响GitLab EE 16.8及以上版本。该漏洞允许攻击者通过自定义Maven依赖代理URL向内部资源发出未经授权的请求，可能被用于侦察和进一步攻击内部网络资源。

最后，CVE-2024-8124是一个拒绝服务（DoS）漏洞，影响从16.4版本开始的GitLab CE/EE版本。攻击者可以通过发送过大的glm_source参数导致GitLab服务不可用，从而中断对关键功能的访问。

GitLab强烈建议所有自管理安装立即升级到最新版本，以保护自己免受这些漏洞的影响。GitLab.com用户已经受到保护，因为平台运行的是已修补版本，而GitLab Dedicated客户无需采取行动。对于运行受影响版本的用户，升级到17.3.2、17.2.5或17.1.7版本对于维护GitLab环境的安全性和完整性至关重要。