Chrome浏览器远程代码执行0Day 漏洞风险提示

  • A+
所属分类:安全漏洞
Chrome浏览器远程代码执行0Day 漏洞风险提示


漏洞公告

今日,GitLab官方发布了安全更新公告,修复了一个远程代码执行漏洞,该漏洞允许攻击者在目标服务器上执行任意命令,相关链接参考:

https://about.gitlab.com/releases/2021/04/14/security-release-gitlab-13-10-3-released/#Remote-code-execution-when-uploading-specially-crafted-image-files



影响范围


该漏洞影响以下GitLab企业版和社区版:

Gitlab CE/EE < 13.8.8 ,建议升级至Gitlab CE/EE 13.8.8

Gitlab CE/EE < 13.9.6 ,建议升级至Gitlab CE/EE 13.9.6

Gitlab CE/EE < 13.10.3 ,建议升级至Gitlab CE/EE 13.10.3

下载链接:https://about.gitlab.com/update/

通过安恒 SUMAP 平台对全球部署的GitLab进行统计,最新查询分布情况如下:

全球分布:

Chrome浏览器远程代码执行0Day 漏洞风险提示


国内分布:

Chrome浏览器远程代码执行0Day 漏洞风险提示



漏洞描述


根据分析,该漏洞由于Gitlab未正确验证传递到文件解析器的图像文件从而导致命令执行,攻击者可构造恶意请求利用该漏洞在目标系统执行任意指令,可导致Gitlab服务器被控制。




 缓解措施


高危:目前漏洞细节和利用代码暂未公开,但可以通过补丁对比方式定位漏洞触发点并开发漏洞利用代码,建议部署了存在漏洞版本的用户及时更新到漏洞修复的版本。

处置:

1、及时升级GitLab至最新安全版本

2、配置访问控制策略,避免受影响的GitLab暴露在公网



安恒应急响应中心

2021年4月


本文始发于微信公众号(安恒信息应急响应中心):Chrome浏览器远程代码执行0Day 漏洞风险提示

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: