发布时间:2019-12-24 14:18:14,来源:中国信息通信研究院
一、 内容概述
Gitlab EE 存在多个安全漏洞,CVE编号:CVE-2019-19628,CVE-2019-19629。攻击者利用以上漏洞,可实现远程代码执行。
受影响版本:
GitLab EE 12.5.1 to 12.5.3
GitLab EE 12.4.1 to 12.4.5
GitLab EE < 12.3.9
二、 详细说明
Gitlab是一个用于仓库管理系统的开源项目,使用Git作为代码管理工具,并在此基础上搭建起来的Web服务。近日,Gitlab官方发布了安全更新,通过安全更新可知,与Gitlab相关漏洞如下:
1) 由于Maven包注册表的参数处理问题,可能会导致权限提升和某些条件下的远程代码执行漏洞(CVE-2019-19628),影响GitLab EE 11.3及更高版本。
2) 当将公共项目转移到私有组时,私有代码将通过Elasticsearch集成提供的GroupSearch API获取(CVE-2019-19629),影响GitLab EE 10.5及更高版本。
三、 处理方法和建议
1、漏洞修复建议:
建议上述受影响版本尽快升级到最新版本(GitLab企业版(EE)12.5.4、12.4.6和12.3.9版本)。如果您无法升级,请考虑禁用Elasticsearch。
2、参考链接:
1) https://about.gitlab.com/blog/2019/12/10/critical-security-release-gitlab-12-5-4-released/