背景描述
GitLab是一个利用Ruby开发的用于仓库管理系统的开源项目,使用者将Git作为代码管理工具,可通过Web界面访问公开的或者私人项目。
近日,迪普科技监测到GitLab官方发布了安全公告, GitLab 存在远程代码执行漏洞。由于GitLab现今在国内外大中型互联网公司广泛使用,迪普科技建议相关用户及时更新版本,做好相关防护措施。
严重等级
高危
漏洞描述
在GitLab社区版(CE)和企业版(EE)中发现严重漏洞,该漏洞影响了从13.2开始的所有版本,允许未授权但经过身份验证的远程攻击者通过恶意构造、可控的markdown渲染选项在服务器上执行任意代码,危害系统安全。
影响范围
13.2 <= Gitlab CE/EE < 13.9.4
13.2 <= Gitlab CE/EE < 13.8.6
13.2 <= Gitlab CE/EE < 13.7.9
GitLab版本自查
在终端中使用如下命令进行GitLab版本自查,确认是否为受影响版本:
cat /opt/gitlab/embedded/service/gitlab-rails/VERSION
官方解决方案
官方目前已发布最新版本,建议用户通过以下链接尽快升级更高版本:
https://packages.gitlab.com/gitlab/gitlab-ce
迪普科技解决方案
迪普科技安全服务团队可协助客户进行现网GitLab版本升级,指导客户进行安全配置等各种安全加固工作。如服务器疑似被入侵,迪普科技可安排安全服务专家针对网络安全入侵事件,提供快速应急响应支撑服务以及专业的安全建设建议,指导完善安全防护措施。
该漏洞目前尚未披露更多细节,迪普科技正在全力跟踪相关漏洞的最新进展,有疑问的客户也可联系迪普科技当地办事处售后人员或拨打客户服务热线电话(400-6100-598)进一步了解相关情况。
迪普科技安全服务团队
迪普科技安全服务团队拥有中国信息安全测评中心、中国网络安全审查技术与认证中心、中国通信企业协会、公安部一所等机构认证资质。作为中国国家信息安全漏洞库一级技术支撑单位,迪普科技安全服务团队依托业内一流的安全服务专家团队和丰富的行业经验积累,以高质量、高标准的理念,为各行业客户提供全面、深度涵盖信息系统规划立项、设计开发、建设实施、运行维护和系统废弃全生命周期的安全服务,帮助客户建立并持续完善网络安全技术和安全管理体系,提升客户信息系统的整体安全防护水平。
原文始发于微信公众号(迪普科技):【漏洞风险通告】GitLab 远程代码执行漏洞
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论