gitlab多个高危漏洞
- cnnvd编号:未知
- 危害等级: 高危
- cve编号:未知
- 漏洞类型: 未知
- 威胁类型:未知
- 厂 商:未知
- 漏洞来源:深信服
- 发布时间:2021-05-07
- 更新时间:2021-05-07
漏洞简介
1、组件介绍
gitlab是一个用于仓库管理系统的开源项目,使用git作为代码管理工具,并在此基础上搭建起来的web服务,具有wiki以及在线编辑、issue跟踪功能、ci/cd等功能。
2、漏洞描述
2021年4月17日,深信服安全团队监测到gitlab官方发布了一则漏洞安全通告,通告中公布了2个高危漏洞。
1. gitlab 代码执行漏洞。
漏洞危害:高危。攻击者可以上传特制的图像文件触发远程代码执行。
2. ruby rexml gem xml往返漏洞
漏洞危害:高危。在解析和序列化制作的xml文档时,rexml gem(包括与ruby捆绑在一起的文件)会创建错误的xml文档,这个漏洞的严重性取决于执行环境。
漏洞公示
如何检测组件系统版本
在终端中使用如下命令检测当前gitlab版本
cat /opt/gitlab/embedded/service/gitlab-rails/version
参考网站
暂无
受影响实体
gitlab是一个基于git实现的在线代码仓库软件,可以用gitlab搭建一个类似于github一样的仓库,但是gitlab有完善的管理界面和权限控制,一般用于在企业、学校等内部网络搭建git私服,可能受漏洞影响的资产广泛分布于世界各地,中国大陆省份中受影响资产分布于浙江、广东、山东、北京、上海等省市,
目前受影响的gitlab版本:
gitlab ce/ee < 13.10.3
gitlab ce/ee < 13.9.6
gitlab ce/ee < 13.8.8
补丁
当前官方已发布最新版本,建议受影响的用户及时更新升级到最新版本。链接如下:
