当前位置:首页 > 漏洞预警 > 正文

GitLab任意文件读取漏洞预警

发布时间:2021-07-09 16:05:49,来源:杭州安恒信息技术股份有限公司

      一、 基本情况

7月7日,GitLab官方发布了安全更新公告,修复了GitLab社区版(CE)和企业版(EE)存在的任意文件读取漏洞。攻击者可利用该漏洞读取目标GitLab服务器上的任意文件。目前厂商已发布新版本修复该漏洞,建议广大用户尽快升级至安全版本进行防护,做好资产自查以及预防工作,以免遭受黑客攻击。

      二、 漏洞等级

高危

      三、 漏洞描述

GitLab是一个用于仓库管理系统的开源项目,使用Git作为代码管理工具,可通过Web界面访问公开或私人项目。

该漏洞存在于GitLab CE/EE 13.11,13.12和14.0开始的所有版本。通过特别制作的设计(Design/Design Management),允许攻击者可利用该漏洞读取目标GitLab服务器上的任意文件。

      四、 影响范围

Gitlab CE/EE < 13.11

Gitlab CE/EE < 13.12

Gitlab CE/EE < 14.0

      五、 安全建议

建议受影响用户及时升级至Gitlab 13.11.7,13.12.8或14.0.3版本进行防护。

下载地址:https://about.gitlab.com/update

      六、 参考链接

https://about.gitlab.com/releases/2021/07/07/critical-security-release-gitlab-14-0-4-released/