GitLab 遠(yuǎn)程命令執(zhí)行漏洞
  • CNNVD編號(hào):CVE-2021-22205
  • 危害等級(jí): 高危 
  • CVE編號(hào):未知
  • 漏洞類型: 遠(yuǎn)程代碼執(zhí)行
  • 威脅類型:遠(yuǎn)程
  • 廠       商:未知
  • 漏洞來(lái)源:深信服
  • 發(fā)布時(shí)間:2021-10-27
  • 更新時(shí)間:2021-10-27

漏洞簡(jiǎn)介

1、組件介紹

GitLab 是由 GitLabInc. 開(kāi)發(fā),使用 MIT 許可證的基于網(wǎng)絡(luò)的Git 倉(cāng)庫(kù)管理工具,具有 issue 跟蹤功能。它是使用 Git 作為代碼管理工具,并在此基礎(chǔ)上搭建起來(lái)的 web 服務(wù)。

2、漏洞描述

2021年10月26日,深信服安全團(tuán)隊(duì)監(jiān)測(cè)到一則 GitLab 組件存在遠(yuǎn)程命令執(zhí)行漏洞的信息,漏洞編號(hào):CVE-2021-22205,漏洞威脅等級(jí):嚴(yán)重。

該漏洞是由于 GitLab 沒(méi)有正確的處理傳入的圖像文件,導(dǎo)致攻擊者可利用該漏洞構(gòu)造惡意數(shù)據(jù)執(zhí)行遠(yuǎn)程命令,最終造成服務(wù)器敏感性信息泄露。

漏洞公示

暫無(wú)

受影響實(shí)體

GitLab 可以運(yùn)行在幾乎所有計(jì)算機(jī)平臺(tái)上,由于其跨平臺(tái)和安全性被廣泛使用,成為最流行的倉(cāng)庫(kù)管理系統(tǒng)項(xiàng)目之一。全球有數(shù)十萬(wàn) GitLab 云托管服務(wù)器,可能受漏洞影響的資產(chǎn)廣泛分布于世界各地,中國(guó)大陸省份中,浙江、廣東、山東、北京、上海等省市位于前列。

目前受影響的 GitLab 版本:

11.9 <= GitLab(CE/EE)< 13.8.8

13.9 <= GitLab(CE/EE)< 13.9.6

13.10 <= GitLab(CE/EE)< 13.10.3

補(bǔ)丁

1、如何檢測(cè)組件系統(tǒng)版本

右上角找到help,點(diǎn)擊選擇欄中的“幫助”,即可看到版本信息。

2、官方解決方案

當(dāng)前官方已發(fā)布最新版本,建議受影響的用戶及時(shí)更新升級(jí)到最新版本。鏈接如下:

https://packages.gitlab.com/gitlab/

3、臨時(shí)修復(fù)建議

避免受影響的 GitLab 暴露在公網(wǎng)。