注册    登录
创作新主题
社区所有版块导航
Python
python开源   Django   Python   DjangoApp   pycharm  
DATA
docker   Elasticsearch  
分享
问与答   闲聊   招聘   翻译   创业   分享发现   分享创造   求职   区块链   支付之战  
aigc
aigc   chatgpt  
WEB开发
linux   MongoDB   Redis   DATABASE   NGINX   其他Web框架   web工具   zookeeper   tornado   NoSql   Bootstrap   js   peewee   Git   bottle   IE   MQ   Jquery  
机器学习
机器学习算法  
Python88.com
反馈   公告   社区推广  
产品
短视频  
印度
印度  
关注
Py学习  »  Git

GitLab 4月远程代码执行漏洞

维他命安全 • 3 年前 • 603 次点击  

0x00 漏洞概述

CVE   ID


时   间

2021-04-15

类   型

RCE

等   级

严重

远程利用

影响范围


PoC/EXP

未公开

在野利用


 

0x01 漏洞详情



GitLab是一个用于仓库管理系统的开源项目,其使用Git作为代码管理工具,可通过Web界面访问公开或私人项目。

2021年04月14日,Gitlab发布安全公告,公开了GitLab社区版(CE)和企业版(EE)中的一个远程代码执行漏洞,其CVSS评分为9.9。该漏洞是由于GitLab没有正确验证传递到文件解析器的image文件而导致的远程命令执行。

 

影响范围

Gitlab CE/EE < 13.8.8

Gitlab CE/EE < 13.9.6

Gitlab CE/EE < 13.10.3

 

0x02 处置建议

目前官方已修复了此漏洞,建议升级至以下版本:

Gitlab CE/EE 13.8.8

Gitlab CE/EE 13.9.6

Gitlab CE/EE 13.10.3

下载链接:

https://about.gitlab.com/update/

 

0x03 参考链接

https://about.gitlab.com/releases/2021/04/14/security-release-gitlab-13-10-3-released/

https://www.ruby-lang.org/en/news/2021/04/05/xml-round-trip-vulnerability-in-rexml-cve-2021-28965/

https://about.gitlab.com/update/

 

0x04 时间线

2021-04-14  GitLab发布安全公告

2021-04-15  VSRC发布安全通告

 

0x05 附录

 

CVSS评分标准官网:http://www.first.org/cvss/


 


Python社区是高质量的Python/Django开发社区
本文地址:http://www.python88.com/topic/111667
Reply
 
603 次点击  
登录后回复
关于   移动版
Py学习 - 专注于Python技术发展的社区(原Django社区)
沪ICP备11025650号