此篇文章報導了GitLab於近期釋出的17.11.1、17.10.5與17.9.7版本更新,這些更新針對社群版與企業版同步進行了關鍵的安全性修正。更新的主要重點是解決多個與Maven Dependency Proxy元件相關的高嚴重性漏洞,這些漏洞可能會引發跨站腳本攻擊(XSS)及資料洩漏風險。這些漏洞的影響範圍涵蓋了16.6版本後的所有GitLab版本,無論是自助管理版本還是其他部署方式。GitLab官方強烈建議所有受影響的用戶儘速升級,確保系統的安全性。
GitLab本次更新修補了五個安全性問題,其中有三個是高嚴重性的漏洞。以下是主要的修補內容:
- Maven Dependency Proxy 元件的跨站腳本攻擊漏洞 Maven Dependency Proxy是GitLab中的一個重要元件,主要用於快取與管理Java專案所需的套件。這次修補的漏洞源自於該元件的內容安全政策(CSP)與快取標頭設定不足。攻擊者可能藉由這個漏洞,將惡意腳本注入到系統中,從而繞過瀏覽器的安全防護機制,造成XSS攻擊。此問題的修補已被編號為CVE-2025-1763。
- NEL(Network Error Logging)標頭注入漏洞 另一個高嚴重性漏洞與NEL標頭注入有關。這個漏洞可能讓攻擊者追蹤使用者的瀏覽行為,從而進一步增加入侵或帳號接管的風險。這種攻擊可以讓攻擊者取得敏感資訊,甚至利用這些資料發動後續的攻擊。此漏洞的修補已編號為CVE-2025-2443。
- 資料洩漏風險 GitLab的這次更新還修補了另一個高嚴重性漏洞,這個漏洞涉及資料洩漏風險。由於Maven Dependency Proxy元件的設定問題,攻擊者可以繞過安全機制,竊取或暴露敏感資料。這一問題已編號為CVE-2025-1908,並在最新版本中被修正。
除了三個高嚴重性漏洞外,本文還提到GitLab更新修補了兩個中等嚴重性的漏洞:
- Issue Preview功能的DoS攻擊漏洞 這個漏洞允許攻擊者利用GitLab的Issue Preview功能發起拒絕服務(DoS)攻擊,可能造成系統無法正常運行。此漏洞的修補已被編號為CVE-2025-0639。
- 專案停用Repository Assets功能後的存取控制問題 在某些情況下,即使用戶停用了專案中的Repository Assets功能,仍可能未授權地讀取分支名稱,造成未經授權的存取問題。這個漏洞的修補已被編號為CVE-2024-12244。
綜合來看,作者提醒GitLab用戶,這些高嚴重性的漏洞若不修補,將會對企業系統的安全性構成重大威脅。GitLab已經在最新版本中修復了這些漏洞,並建議所有受影響的安裝環境,無論部署方式為何,都應儘速升級以確保系統安全。因此,企業應該密切關注這些安全更新,並做好及時升級和防護措施,以防止資料外洩與駭客攻擊。
