【漏洞风险通告】GitLab 远程代码执行漏洞

admin 2022年5月24日09:29:48安全漏洞评论18 views1040字阅读3分28秒阅读模式
【漏洞风险通告】GitLab 远程代码执行漏洞


背景描述

GitLab是一个利用Ruby开发的用于仓库管理系统的开源项目,使用者将Git作为代码管理工具,可通过Web界面访问公开的或者私人项目。


近日,迪普科技监测到GitLab官方发布了安全公告, GitLab 存在远程代码执行漏洞。由于GitLab现今在国内外大中型互联网公司广泛使用,迪普科技建议相关用户及时更新版本,做好相关防护措施。


严重等级

高危


漏洞描述

在GitLab社区版(CE)和企业版(EE)中发现严重漏洞,该漏洞影响了从13.2开始的所有版本,允许未授权但经过身份验证的远程攻击者通过恶意构造、可控的markdown渲染选项在服务器上执行任意代码,危害系统安全。


影响范围

13.2 <= Gitlab CE/EE < 13.9.4

13.2 <= Gitlab CE/EE < 13.8.6

13.2 <= Gitlab CE/EE < 13.7.9


解决方案

GitLab版本自查

在终端中使用如下命令进行GitLab版本自查,确认是否为受影响版本:

cat /opt/gitlab/embedded/service/gitlab-rails/VERSION


官方解决方案

官方目前已发布最新版本,建议用户通过以下链接尽快升级更高版本:

https://packages.gitlab.com/gitlab/gitlab-ce


迪普科技解决方案

迪普科技安全服务团队可协助客户进行现网GitLab版本升级,指导客户进行安全配置等各种安全加固工作。如服务器疑似被入侵,迪普科技可安排安全服务专家针对网络安全入侵事件,提供快速应急响应支撑服务以及专业的安全建设建议,指导完善安全防护措施。

 

该漏洞目前尚未披露更多细节,迪普科技正在全力跟踪相关漏洞的最新进展,有疑问的客户也可联系迪普科技当地办事处售后人员或拨打客户服务热线电话(400-6100-598)进一步了解相关情况。

【漏洞风险通告】GitLab 远程代码执行漏洞


迪普科技安全服务团队

迪普科技安全服务团队拥有中国信息安全测评中心、中国网络安全审查技术与认证中心、中国通信企业协会、公安部一所等机构认证资质。作为中国国家信息安全漏洞库一级技术支撑单位,迪普科技安全服务团队依托业内一流的安全服务专家团队和丰富的行业经验积累,以高质量、高标准的理念,为各行业客户提供全面、深度涵盖信息系统规划立项、设计开发、建设实施、运行维护和系统废弃全生命周期的安全服务,帮助客户建立并持续完善网络安全技术和安全管理体系,提升客户信息系统的整体安全防护水平。


原文始发于微信公众号(迪普科技):【漏洞风险通告】GitLab 远程代码执行漏洞

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年5月24日09:29:48
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  【漏洞风险通告】GitLab 远程代码执行漏洞 http://cn-sec.com/archives/859489.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: