2021
03/19
10:49
文章作者:

GitLab 遠(yuǎn)程代碼執(zhí)行漏洞通告 0x01漏洞簡述

0x01漏洞簡述

2021年03月18日,360CERT監(jiān)測發(fā)現(xiàn)GitLab官方發(fā)布了GitLab 代碼執(zhí)行的風(fēng)險通告,漏洞等級:嚴(yán)重,漏洞評分:9.9。

未經(jīng)授權(quán)但經(jīng)過身份驗證的用戶,能夠利用該漏洞在服務(wù)器上執(zhí)行任意代碼。

對此,360CERT建議廣大用戶及時將GitLab升級到最新版本。與此同時,請做好資產(chǎn)自查以及預(yù)防工作,以免遭受黑客攻擊。

0x02風(fēng)險等級

360CERT對該漏洞的評定結(jié)果如下

評定方式等級
威脅等級嚴(yán)重
影響面廣泛
360CERT評分9.9

0x03漏洞詳情

代碼執(zhí)行漏洞

GitLab社區(qū)版(CE)和企業(yè)版(EE)中存在嚴(yán)重漏洞,未經(jīng)授權(quán)但經(jīng)過身份驗證的用戶可以通過不安全的,用戶可控的markdown渲染代碼,從而造成代碼執(zhí)行。

0x04影響版本

– GitLab:GitLab: <13.9.4/<13.8.6/<13.7.9

0x05修復(fù)建議

通用修補建議

升級到最新版本:

官方下載頁面。

0x06相關(guān)空間測繪數(shù)據(jù)

360安全大腦-Quake網(wǎng)絡(luò)空間測繪系統(tǒng)通過對全網(wǎng)資產(chǎn)測繪,發(fā)現(xiàn)GitLab具體分布如下圖所示。

0x07產(chǎn)品側(cè)解決方案

360城市級網(wǎng)絡(luò)安全監(jiān)測服務(wù)

360CERT的安全分析人員利用360安全大腦的QUAKE資產(chǎn)測繪平臺(quake.#),通過資產(chǎn)測繪技術(shù)的方式,對該漏洞進(jìn)行監(jiān)測??陕?lián)系相關(guān)產(chǎn)品區(qū)域負(fù)責(zé)人或(quake##)獲取對應(yīng)產(chǎn)品。

0x08時間線

2021-03-16 Gitlab官方發(fā)布通告

2021-03-18 360CERT發(fā)布通告

0x09參考鏈接

1、 Gitlab官方通告

0x0a特制報告下載鏈接

一直以來,360CERT對全球重要網(wǎng)絡(luò)安全事件進(jìn)行快速通報、應(yīng)急響應(yīng)。為更好地為政企用戶提供最新漏洞以及信息安全事件的安全通告服務(wù),現(xiàn)360CERT正式推出安全通告特制版報告,以便用戶做資料留存、傳閱研究與查詢驗證。 用戶可直接通過以下鏈接進(jìn)行特制報告的下載。

GitLab 遠(yuǎn)程代碼執(zhí)行漏洞通告


我們的服務(wù)

Our Services

新聞資訊

News Center 更多 +

聯(lián)系我們

Contact Us

咨詢熱線:

86-592-5151555

地址: 廈門市集美區(qū)軟件園三期A3棟504室

QQ:1039899831

固話:86-592-5151555

手機:18020730588(賴先生)

官網(wǎng):m.haymarketdoctors.com

微信二維碼

Copyright © 2000-2021 m.haymarketdoctors.com

閩網(wǎng)文〔2018〕11518-507號 | 閩ICP備17022492號-1

游戲作品版權(quán)歸原作者享有,如無意之中侵犯了您的版權(quán),請您按照《版權(quán)保護(hù)投訴指引》來信告知,本網(wǎng)站將應(yīng)您的要求刪除。