FreeBSD:Gitlab -- 多個弱點 (1aa7a094-1147-11ea-b537-001b217b3468)

critical Nessus Plugin ID 131466

概要

遠端 FreeBSD 主機缺少一個或多個安全性相關更新。

說明

Gitlab 報告:可能造成遠端程式碼執行的路徑遊走 私密物件透過專案匯入而洩露 透過 Elasticsearch 整合造成附註洩露 多個聊天通知中發生 DNS 重新繫結 SSRF 相依性清單中的弱點洩露狀態 相關分支名稱的 Cycle Analytics Exposure 中的認可計數洩露 從已封鎖使用者推送的標籤 透過整合洩露給客體成員的分支和認可 將使用者新增到受保護環境時發生 IDOR 能夠存取登錄資訊的先前專案成員 未經授權存取 grafana 指標 針對先前的專案成員建立的 Todos 更新 Mattermost 相依性 洩露特 Admin 頁面上的 AWS 秘密金鑰 儲存在群組及使用者設定檔欄位中的 XSS 透過專案 API 造成分叉專案資訊洩露 問題和認可註解頁面中發生拒絕服務 以純文字格式儲存的 Token

解決方案

更新受影響的套件。

另請參閱

http://www.nessus.org/u?4cf08a8c

http://www.nessus.org/u?896288a7

Plugin 詳細資訊

嚴重性: Critical

ID: 131466

檔案名稱: freebsd_pkg_1aa7a094114711eab537001b217b3468.nasl

版本: 1.4

類型: local

已發布: 2019/12/3

已更新: 2020/1/8

支援的感應器: Nessus

風險資訊

VPR

風險因素: Medium

分數: 5.9

CVSS v2

風險因素: High

基本分數: 7.5

時間分數: 5.5

媒介: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P

CVSS 評分資料來源: CVE-2019-19088

CVSS v3

風險因素: Critical

基本分數: 9.8

時間分數: 8.5

媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

時間媒介: CVSS:3.0/E:U/RL:O/RC:C

弱點資訊

CPE: p-cpe:/a:freebsd:freebsd:gitlab-ce, cpe:/o:freebsd:freebsd

必要的 KB 項目: Host/local_checks_enabled, Host/FreeBSD/release, Host/FreeBSD/pkg_info

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2019/11/27

弱點發布日期: 2019/11/27

參考資訊

CVE: CVE-2019-19086, CVE-2019-19087, CVE-2019-19088, CVE-2019-19254, CVE-2019-19255, CVE-2019-19256, CVE-2019-19257, CVE-2019-19258, CVE-2019-19259, CVE-2019-19260, CVE-2019-19261, CVE-2019-19262, CVE-2019-19263, CVE-2019-19309, CVE-2019-19310, CVE-2019-19311, CVE-2019-19312, CVE-2019-19313, CVE-2019-19314