漏洞公告
今日,GitLab官方发布了安全更新公告,修复了一个远程代码执行漏洞,该漏洞允许攻击者在目标服务器上执行任意命令,相关链接参考:
https://about.gitlab.com/releases/2021/04/14/security-release-gitlab-13-10-3-released/#Remote-code-execution-when-uploading-specially-crafted-image-files
一
影响范围
该漏洞影响以下GitLab企业版和社区版:
Gitlab CE/EE < 13.8.8 ,建议升级至Gitlab CE/EE 13.8.8
Gitlab CE/EE < 13.9.6 ,建议升级至Gitlab CE/EE 13.9.6
Gitlab CE/EE < 13.10.3 ,建议升级至Gitlab CE/EE 13.10.3
下载链接:https://about.gitlab.com/update/
通过安恒 SUMAP 平台对全球部署的GitLab进行统计,最新查询分布情况如下:
全球分布:
国内分布:
二
漏洞描述
根据分析,该漏洞由于Gitlab未正确验证传递到文件解析器的图像文件从而导致命令执行,攻击者可构造恶意请求利用该漏洞在目标系统执行任意指令,可导致Gitlab服务器被控制。
三
缓解措施
高危:目前漏洞细节和利用代码暂未公开,但可以通过补丁对比方式定位漏洞触发点并开发漏洞利用代码,建议部署了存在漏洞版本的用户及时更新到漏洞修复的版本。
处置:
1、及时升级GitLab至最新安全版本
2、配置访问控制策略,避免受影响的GitLab暴露在公网
安恒应急响应中心
2021年4月
本文始发于微信公众号(安恒信息应急响应中心):Chrome浏览器远程代码执行0Day 漏洞风险提示
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论