GitLab 任意文件讀取漏洞
  • CNNVD編號(hào):未知
  • 危害等級(jí): 未知
  • CVE編號(hào):未知
  • 漏洞類型: 任意文件讀取
  • 威脅類型:遠(yuǎn)程
  • 廠       商:未知
  • 漏洞來(lái)源:深信服
  • 發(fā)布時(shí)間:2021-07-12
  • 更新時(shí)間:2021-07-12

漏洞簡(jiǎn)介

1、組件介紹

GitLab是由GitLabInc.開(kāi)發(fā),使用MIT許可證的基于網(wǎng)絡(luò)的Git倉(cāng)庫(kù)管理工具,具有issue跟蹤功能。它使用Git作為代碼管理工具,并在此基礎(chǔ)上搭建起來(lái)的web服務(wù)。

2、漏洞描述

2021年7月9日,深信服安全團(tuán)隊(duì)監(jiān)測(cè)到一則GitLab 組件存在 任意文件讀取漏洞的信息。

該漏洞是由于Design/Design Management 中的代碼存在設(shè)計(jì)缺陷,導(dǎo)致攻擊者可利用該漏洞構(gòu)造惡意數(shù)據(jù)執(zhí)行任意文件讀取攻擊,最終造成服務(wù)器敏感性信息泄露。

漏洞公示

暫無(wú)

參考網(wǎng)站

暫無(wú)

受影響實(shí)體

GitLab 可以運(yùn)行在幾乎所有計(jì)算機(jī)平臺(tái)上,由于其跨平臺(tái)和安全性被廣泛使用,成為最流行的倉(cāng)庫(kù)管理系統(tǒng)項(xiàng)目之一。全球有數(shù)十萬(wàn) GitLab 云托管服務(wù)器,可能受漏洞影響的資產(chǎn)廣泛分布于世界各地,中國(guó)大陸省份中,浙江、廣東、山東、北京、上海等省市位于前列。

目前受影響的GitLab版本:

GitLab(CE/EE)14.0.x  - 14.0.3

GitLab(CE/EE)13.12.x - 13.12.8

GitLab(CE/EE)13.11.x - 13.11.7

補(bǔ)丁

1、如何檢測(cè)組件系統(tǒng)版本

右上角找到help,點(diǎn)擊選擇欄中的“幫助”,即可看到版本信息。

2、官方修復(fù)建議

當(dāng)前官方已發(fā)布最新版本,建議受影響的用戶及時(shí)更新升級(jí)到最新版本。鏈接如下:

https://packages.gitlab.com/gitlab/



3、臨時(shí)修復(fù)建議

避免受影響的 GitLab 暴露在公網(wǎng)。