2021年03月18日,360CERT監(jiān)測發(fā)現(xiàn)GitLab官方
發(fā)布了GitLab 代碼執(zhí)行
的風(fēng)險通告,漏洞等級:嚴(yán)重
,漏洞評分:9.9
。
未經(jīng)授權(quán)但經(jīng)過身份驗證的用戶,能夠利用該漏洞在服務(wù)器上執(zhí)行任意代碼。
對此,360CERT建議廣大用戶及時將GitLab
升級到最新版本。與此同時,請做好資產(chǎn)自查以及預(yù)防工作,以免遭受黑客攻擊。
360CERT對該漏洞的評定結(jié)果如下
評定方式 | 等級 |
---|---|
威脅等級 | 嚴(yán)重 |
影響面 | 廣泛 |
360CERT評分 | 9.9 |
代碼執(zhí)行漏洞
GitLab社區(qū)版(CE)和企業(yè)版(EE)中存在嚴(yán)重漏洞,未經(jīng)授權(quán)但經(jīng)過身份驗證的用戶可以通過不安全的,用戶可控的markdown
渲染代碼,從而造成代碼執(zhí)行。
– GitLab:GitLab
: <13.9.4/<13.8.6/<13.7.9
通用修補建議
升級到最新版本:
官方下載頁面。
360安全大腦-Quake網(wǎng)絡(luò)空間測繪系統(tǒng)通過對全網(wǎng)資產(chǎn)測繪,發(fā)現(xiàn)GitLab
具體分布如下圖所示。
360城市級網(wǎng)絡(luò)安全監(jiān)測服務(wù)
360CERT的安全分析人員利用360安全大腦的QUAKE資產(chǎn)測繪平臺(quake.#),通過資產(chǎn)測繪技術(shù)的方式,對該漏洞進(jìn)行監(jiān)測??陕?lián)系相關(guān)產(chǎn)品區(qū)域負(fù)責(zé)人或(quake##)獲取對應(yīng)產(chǎn)品。
2021-03-16 Gitlab官方發(fā)布通告
2021-03-18 360CERT發(fā)布通告
1、 Gitlab官方通告
一直以來,360CERT對全球重要網(wǎng)絡(luò)安全事件進(jìn)行快速通報、應(yīng)急響應(yīng)。為更好地為政企用戶提供最新漏洞以及信息安全事件的安全通告服務(wù),現(xiàn)360CERT正式推出安全通告特制版報告,以便用戶做資料留存、傳閱研究與查詢驗證。 用戶可直接通過以下鏈接進(jìn)行特制報告的下載。
GitLab 遠(yuǎn)程代碼執(zhí)行漏洞通告
咨詢熱線:
86-592-5151555
地址: 廈門市集美區(qū)軟件園三期A3棟504室
QQ:1039899831
固話:86-592-5151555
手機:18020730588(賴先生)
官網(wǎng):m.haymarketdoctors.com
Copyright © 2000-2021 m.haymarketdoctors.com
游戲作品版權(quán)歸原作者享有,如無意之中侵犯了您的版權(quán),請您按照《版權(quán)保護(hù)投訴指引》來信告知,本網(wǎng)站將應(yīng)您的要求刪除。