FreeBSD:Gitlab -- 複数の脆弱性(1aa7a094-1147-11ea-b537-001b217b3468)

critical Nessus プラグイン ID 131466

概要

リモートのFreeBSDホストに1つ以上のセキュリティ関連の更新プログラムがありません。

説明

Gitlab による報告:

リモートコード実行の可能性があるパストラバーサル

プロジェクトのインポートで漏洩したプライベートオブジェクト

Elasticsearch統合によるメモの漏洩

Elasticsearch統合によるコメントの漏洩

さまざまなチャット通知でのDNS Rebind SSRF

依存関係リストの脆弱性ステータスの漏洩

Cycle Analyticsでのコミットカウントの漏洩

関連するブランチ名の漏洩

ブロックされたユーザーからのタグプッシュ

統合によりゲストメンバーに公開されるブランチとコミット

保護された環境にユーザーを追加する際のIDOR

リポジトリ情報にアクセスできる元プロジェクトメンバー

grafanaメトリックへの不正アクセス

元プロジェクトメンバー用に作成されたTodo

Mattermost依存関係を更新

特定の管理者ページでのAWS秘密鍵の漏洩

GroupおよびUserプロファイルフィールドの蓄積型XSS

Project APIを介して開示された分岐プロジェクト情報

問題およびコミットコメントページでのサービス拒否

平文で保存されたトークン

ソリューション

影響を受けるパッケージを更新してください。

参考資料

http://www.nessus.org/u?4cf08a8c

http://www.nessus.org/u?896288a7

プラグインの詳細

深刻度: Critical

ID: 131466

ファイル名: freebsd_pkg_1aa7a094114711eab537001b217b3468.nasl

バージョン: 1.4

タイプ: local

公開日: 2019/12/3

更新日: 2020/1/8

サポートされているセンサー: Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 5.9

CVSS v2

リスクファクター: High

Base Score: 7.5

Temporal Score: 5.5

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P

CVSS スコアのソース: CVE-2019-19088

CVSS v3

リスクファクター: Critical

Base Score: 9.8

Temporal Score: 8.5

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

脆弱性情報

CPE: p-cpe:/a:freebsd:freebsd:gitlab-ce, cpe:/o:freebsd:freebsd

必要な KB アイテム: Host/local_checks_enabled, Host/FreeBSD/release, Host/FreeBSD/pkg_info

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2019/11/27

脆弱性公開日: 2019/11/27

参照情報

CVE: CVE-2019-19086, CVE-2019-19087, CVE-2019-19088, CVE-2019-19254, CVE-2019-19255, CVE-2019-19256, CVE-2019-19257, CVE-2019-19258, CVE-2019-19259, CVE-2019-19260, CVE-2019-19261, CVE-2019-19262, CVE-2019-19263, CVE-2019-19309, CVE-2019-19310, CVE-2019-19311, CVE-2019-19312, CVE-2019-19313, CVE-2019-19314