发布时间:2021-04-25 10:40:40,来源:深信服科技股份有限公司
一、基本情况
GitLab是一个用于仓库管理系统的开源项目,使用Git作为代码管理工具,可通过Web界面访问公开或私人项目。
近日,GitLab发布安全更新公告,修复了GitLab社区版(CE)和企业版(EE)存在一个远程命令执行漏洞,漏洞CVE编号:CVE-2021-22205。攻击者可利用该漏洞在目标服务器上执行任意命令。建议受影响用户将GitLab升级至最新版本进行防护,做好资产自查以及预防工作,以免遭受黑客攻击。
二、 漏洞等级
高危
三、 漏洞描述
该漏洞影响从11.9开始的所有版本,由于Gitlab未正确验证传递到文件解析器的图像文件从而导致命令执行。攻击者可构造恶意请求利用该漏洞在目标系统执行任意指令,最终导致Gitlab服务器被控制。
四、 影响范围
Gitlab CE/EE < 13.10.3
Gitlab CE/EE < 13.9.6
Gitlab CE/EE < 13.8.8
五、 安全建议
建议用户将GitLab社区版(CE)和企业版(EE)版本升级至13.10.3、13.9.6和13.8.8进行防护。
下载地址:https://about.gitlab.com/update
六、 参考链接
https://about.gitlab.com/releases/2021/04/14/security-release-gitlab-13-10-3-released/