极狐GitLab专家团队支招解决 CVE-2023-4998 漏洞问题

以下文章来源于极狐GitLab ，作者点击关注

极狐GitLab.

极狐GitLab 一体化安全 DevOps 平台，帮助用户实现开发、安全和运维的高效协同。极狐GitLab 由极狐信息技术(湖北)有限公司独立运营，公司投资方包括GitLab Inc.，红杉宽带，以及高成资本等。官网: GitLab.cn

1

漏洞概述

2023 年 9 月 18 日 GitLab Inc. 官方发布安全更新，披露了 CVE-2023-4998 安全漏洞。

• 漏洞详情：CVE-2023-4998；
• GitLab Inc.官方安全更新补丁：GitLab Critical Security Release: 16.3.4 and 16.2.7

2

漏洞 CVE-2023-4998 影响范围

CVE-2023-4998 影响范围从 GitLab 13.12 开始，影响范围为如下版本：

• 16.3 <= GitLab(CE/EE/JH)< 16.3.4；
• 13.12 <= GitLab(CE/EE/JH)< 16.2.7。

3

漏洞出处

Joaxcar 通过 HackerOne 漏洞赏金计划报告此漏洞。

4

漏洞问题根因

身份认证绕过漏洞，经过身份验证的远程攻击者有可能通过计划的安全扫描策略以任意用户身份运行管道。

5

漏洞问题解决

对于 GitLab 私有化部署版的用户，通过将原有的GitLab CE/EE/JH 升级至极狐GitLab16.3.4、16.2.7 版本即可修复该漏洞。

对于 SaaS 用户(jihulab.com)，无需进行任何操作，我们已经升级 SaaS 以修复该漏洞。

6

极狐GitLab技术支持

极狐GitLab 技术支持团队对付费客户提供全面的技术支持，您可以通过
https://support.gitlab.cn/#/portal/myticket 将问题提交。

关于晓数神州

晓数神州-坚持以“敬业、协作、追求卓越”为宗旨，为客户提供专业的服务和解决方案。目前公司有两个团队组成，一个是IT基础设施团队，以Radware产品为中心，提供相关周边网络产品，包括科来、ZDNS等一系列优质产品，提供专业解决方案；另一个是针对DevOps平台，致力于推动企业数字化转型，为用户提供全生命周期管理的产品以及专业化服务，包括JFrog、极狐Gitlab、维普等优质产品。

欲知详情，请访问：www.xdatatech.com