Gitlab多個(gè)高危漏洞
  • CNNVD編號(hào):未知
  • 危害等級(jí): 高危 
  • CVE編號(hào):未知
  • 漏洞類型: 未知
  • 威脅類型:未知
  • 廠       商:未知
  • 漏洞來(lái)源:深信服
  • 發(fā)布時(shí)間:2021-05-07
  • 更新時(shí)間:2021-05-07

漏洞簡(jiǎn)介

1、組件介紹

   GitLab是一個(gè)用于倉(cāng)庫(kù)管理系統(tǒng)的開源項(xiàng)目,使用Git作為代碼管理工具,并在此基礎(chǔ)上搭建起來(lái)的Web服務(wù),具有wiki以及在線編輯、issue跟蹤功能、CI/CD等功能。

2、漏洞描述

   2021年4月17日,深信服安全團(tuán)隊(duì)監(jiān)測(cè)到Gitlab官方發(fā)布了一則漏洞安全通告,通告中公布了2個(gè)高危漏洞。

1. Gitlab 代碼執(zhí)行漏洞。

    漏洞危害:高危。攻擊者可以上傳特制的圖像文件觸發(fā)遠(yuǎn)程代碼執(zhí)行。

2. Ruby REXML gem XML往返漏洞

    漏洞危害:高危。在解析和序列化制作的XML文檔時(shí),REXML gem(包括與Ruby捆綁在一起的文件)會(huì)創(chuàng)建錯(cuò)誤的XML文檔,這個(gè)漏洞的嚴(yán)重性取決于執(zhí)行環(huán)境。

漏洞公示

如何檢測(cè)組件系統(tǒng)版本

   在終端中使用如下命令檢測(cè)當(dāng)前GitLab版本

cat /opt/gitlab/embedded/service/gitlab-rails/VERSION

參考網(wǎng)站

暫無(wú)

受影響實(shí)體

    GitLab是一個(gè)基于Git實(shí)現(xiàn)的在線代碼倉(cāng)庫(kù)軟件,可以用GitLab搭建一個(gè)類似于GitHub一樣的倉(cāng)庫(kù),但是GitLab有完善的管理界面和權(quán)限控制,一般用于在企業(yè)、學(xué)校等內(nèi)部網(wǎng)絡(luò)搭建Git私服,可能受漏洞影響的資產(chǎn)廣泛分布于世界各地,中國(guó)大陸省份中受影響資產(chǎn)分布于浙江、廣東、山東、北京、上海等省市,

    目前受影響的Gitlab版本:

    Gitlab CE/EE < 13.10.3

    Gitlab CE/EE < 13.9.6

    Gitlab CE/EE < 13.8.8

補(bǔ)丁

    當(dāng)前官方已發(fā)布最新版本,建議受影響的用戶及時(shí)更新升級(jí)到最新版本。鏈接如下:
https://about.gitlab.com/releases/2021/04/14/security-release-gitlab-13-10-3-released/