• 我的位置:
  • 首頁
  • -
  • 漏洞預警
  • -
  • 應用
  • -
    • Gitlab多個高危漏洞
    • CNNVD編號:未知
    • 危害等級: 高危 
    • CVE編號:未知
    • 漏洞類型: 未知
    • 威脅類型:未知
    • 廠       商:未知
    • 漏洞來源:深信服
    • 發(fā)布時間:2021-05-07
    • 更新時間:2021-05-07

    漏洞簡介

    1、組件介紹

       GitLab是一個用于倉庫管理系統(tǒng)的開源項目,使用Git作為代碼管理工具,并在此基礎上搭建起來的Web服務,具有wiki以及在線編輯、issue跟蹤功能、CI/CD等功能。

    2、漏洞描述

       2021年4月17日,深信服安全團隊監(jiān)測到Gitlab官方發(fā)布了一則漏洞安全通告,通告中公布了2個高危漏洞。

    1. Gitlab 代碼執(zhí)行漏洞。

        漏洞危害:高危。攻擊者可以上傳特制的圖像文件觸發(fā)遠程代碼執(zhí)行。

    2. Ruby REXML gem XML往返漏洞

        漏洞危害:高危。在解析和序列化制作的XML文檔時,REXML gem(包括與Ruby捆綁在一起的文件)會創(chuàng)建錯誤的XML文檔,這個漏洞的嚴重性取決于執(zhí)行環(huán)境。

    漏洞公示

    如何檢測組件系統(tǒng)版本

       在終端中使用如下命令檢測當前GitLab版本

    cat /opt/gitlab/embedded/service/gitlab-rails/VERSION

    參考網(wǎng)站

    暫無

    受影響實體

        GitLab是一個基于Git實現(xiàn)的在線代碼倉庫軟件,可以用GitLab搭建一個類似于GitHub一樣的倉庫,但是GitLab有完善的管理界面和權限控制,一般用于在企業(yè)、學校等內(nèi)部網(wǎng)絡搭建Git私服,可能受漏洞影響的資產(chǎn)廣泛分布于世界各地,中國大陸省份中受影響資產(chǎn)分布于浙江、廣東、山東、北京、上海等省市,

        目前受影響的Gitlab版本:

        Gitlab CE/EE < 13.10.3

        Gitlab CE/EE < 13.9.6

        Gitlab CE/EE < 13.8.8

    補丁

        當前官方已發(fā)布最新版本,建議受影響的用戶及時更新升級到最新版本。鏈接如下:
    https://about.gitlab.com/releases/2021/04/14/security-release-gitlab-13-10-3-released/