Chrome浏览器远程代码执行0Day 漏洞风险提示

admin 2021年7月20日06:28:09评论107 views字数 742阅读2分28秒阅读模式
Chrome浏览器远程代码执行0Day 漏洞风险提示


漏洞公告

今日,GitLab官方发布了安全更新公告,修复了一个远程代码执行漏洞,该漏洞允许攻击者在目标服务器上执行任意命令,相关链接参考:

https://about.gitlab.com/releases/2021/04/14/security-release-gitlab-13-10-3-released/#Remote-code-execution-when-uploading-specially-crafted-image-files



影响范围


该漏洞影响以下GitLab企业版和社区版:

Gitlab CE/EE < 13.8.8 ,建议升级至Gitlab CE/EE 13.8.8

Gitlab CE/EE < 13.9.6 ,建议升级至Gitlab CE/EE 13.9.6

Gitlab CE/EE < 13.10.3 ,建议升级至Gitlab CE/EE 13.10.3

下载链接:https://about.gitlab.com/update/

通过安恒 SUMAP 平台对全球部署的GitLab进行统计,最新查询分布情况如下:

全球分布:

Chrome浏览器远程代码执行0Day 漏洞风险提示


国内分布:

Chrome浏览器远程代码执行0Day 漏洞风险提示



漏洞描述


根据分析,该漏洞由于Gitlab未正确验证传递到文件解析器的图像文件从而导致命令执行,攻击者可构造恶意请求利用该漏洞在目标系统执行任意指令,可导致Gitlab服务器被控制。




 缓解措施


高危:目前漏洞细节和利用代码暂未公开,但可以通过补丁对比方式定位漏洞触发点并开发漏洞利用代码,建议部署了存在漏洞版本的用户及时更新到漏洞修复的版本。

处置:

1、及时升级GitLab至最新安全版本

2、配置访问控制策略,避免受影响的GitLab暴露在公网



安恒应急响应中心

2021年4月


本文始发于微信公众号(安恒信息应急响应中心):Chrome浏览器远程代码执行0Day 漏洞风险提示

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年7月20日06:28:09
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Chrome浏览器远程代码执行0Day 漏洞风险提示https://cn-sec.com/archives/336480.html

发表评论

匿名网友 填写信息