【漏洞通告】Gitlab多个高危漏洞

  • A+
所属分类:安全漏洞

漏洞分析


组件介绍

   GitLab是一个用于仓库管理系统的开源项目,使用Git作为代码管理工具,并在此基础上搭建起来的Web服务,具有wiki以及在线编辑、issue跟踪功能、CI/CD等功能。


2 漏洞描述

   2021年4月17日,深信服安全团队监测到Gitlab官方发布了一则漏洞安全通告,通告中公布了2个高危漏洞。

    1. Gitlab 代码执行漏洞。

    漏洞危害:高危。攻击者可以上传特制的图像文件触发远程代码执行。
    2. Ruby REXML gem XML往返漏洞

    漏洞危害:高危。在解析和序列化制作的XML文档时,REXML gem(包括与Ruby捆绑在一起的文件)会创建错误的XML文档,这个漏洞的严重性取决于执行环境。


影响范围


    GitLab是一个基于Git实现的在线代码仓库软件,可以用GitLab搭建一个类似于GitHub一样的仓库,但是GitLab有完善的管理界面和权限控制,一般用于在企业、学校等内部网络搭建Git私服,可能受漏洞影响的资产广泛分布于世界各地,中国大陆省份中受影响资产分布于浙江、广东、山东、北京、上海等省市,

    目前受影响的Gitlab版本:

    Gitlab CE/EE < 13.10.3

    Gitlab CE/EE < 13.9.6

    Gitlab CE/EE < 13.8.8


解决方案


1 如何检测组件系统版本

   在终端中使用如下命令检测当前GitLab版本

cat /opt/gitlab/embedded/service/gitlab-rails/VERSION
【漏洞通告】Gitlab多个高危漏洞


官方修复建议

    当前官方已发布最新版本,建议受影响的用户及时更新升级到最新版本。链接如下:
https://about.gitlab.com/releases/2021/04/14/security-release-gitlab-13-10-3-released/


时间轴


2021/4/14  深信服监测到Gitlab官方发布安全补丁。

2021/4/17  深信服千里目安全实验室发布漏洞通告。


点击阅读原文,及时关注并登录深信服智安全平台,可轻松查询漏洞相关解决方案。

【漏洞通告】Gitlab多个高危漏洞

深信服千里目安全实验室

【漏洞通告】Gitlab多个高危漏洞

深信服科技旗下安全实验室,致力于网络安全攻防技术的研究和积累,深度洞察未知网络安全威胁,解读前沿安全技术。

● 扫码关注我们

本文始发于微信公众号(深信服千里目安全实验室):【漏洞通告】Gitlab多个高危漏洞

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: