发布时间:2021-06-18 14:51:29,来源:中国信息通信研究院
一、基本情况
近日,GitLab发布安全更新公告,修复了GitLab社区版(CE)和企业版(EE)存在的10个安全漏洞,包含2个高危漏洞,6个中危漏洞,2个低危漏洞。其中GitLab OAuth令牌漏洞(CVE-2021-22213)和GitLab 拒绝服务漏洞(CVE-2021-22181)漏洞危害较较大,攻击者可利用漏洞泄露OAuth访问令牌或发起拒绝服务攻击等。目前官方已发布新版本修复该漏洞,建议受影响用户及时升级至最新版本进行防护,做好资产自查以及预防工作,以免遭受黑客攻击。
二、 漏洞描述
GitLab是一个用于仓库管理系统的开源项目,使用Git作为代码管理工具,可通过Web界面访问公开或私人项目。
1. GitLab OAuth令牌漏洞(CVE-2021-22213)
GitLab CE/EE 7.10及之前的版本存在OAuth令牌漏洞,攻击者可利用该漏洞通过让受害者使用Safari访问恶意页面来泄露OAuth访问令牌。
2. GitLab 拒绝服务漏洞(CVE-2021-22181)
GitLab CE/EE 11.8及之前版本存在拒绝服务漏洞,攻击者可利用该漏洞创建递归管道关系并耗尽资源,导致拒绝服务攻击。
三、 影响范围
CVE-2021-22213:Gitlab CE/EE <= 7.10
CVE-2021-22181:Gitlab CE/EE <= 11.8
四、 安全建议
建议用户将GitLab社区版(CE)和企业版(EE)版本升级至13.12.2、13.11.5和13.10.5进行防护。
下载地址:https://about.gitlab.com/update
五、 参考链接
https://about.gitlab.com/releases/2021/06/01/security-release-gitlab-13-12-2-released/#Updating