一、漏洞情况

GitLab是一个用于仓库管理系统的开源项目,使用Git作为代码管理工具,可通过Web界面访问公开或私人项目。

3月31日,GitLab发布安全更新公告,修复了GitLab社区版(CE)和企业版(EE)存在的多个漏洞,其中较为严重的是Gitlab roject Import任意文件读取漏洞,攻击者可通过导入特定文件来读取服务器上的任意文件。目前官方已发布新版本修复该漏洞,建议受影响用户及时升级至最新版本进行防护,做好资产自查以及预防工作,以免遭受黑客攻击。

二、漏洞等级

高危

三、影响范围

  • Gitlab CE/EE < 13.8.7

  • Gitlab CE/EE < 13.9.5

  • Gitlab CE/EE < 13.10.1

四、安全建议

建议受影响用户及时升级至Gitlab 13.10.1,13.9.5或13.10.1版本进行防护。

下载地址:https://about.gitlab.com/update

五、参考链接

https://about.gitlab.com/releases/2021/03/31/security-release-gitlab-13-10-1-released/

支持单位:

深信服科技股份有限公司

北京奇虎科技有限公司

上海斗象信息科技有限公司

声明:本文来自网络安全威胁和漏洞信息共享平台,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。