GitLab是一个利用 Ruby on RAIls 开发的开源应用程序,具有wiki以及在线编辑、iSSue跟踪、CI/CD 等功能。GitLab实现一个自托管的Git项目仓库,可通过Web界面进行访问公开的或者私人项目。3月18日Gitlab官方发布安全更新,修复了一个远程代码执行重要漏洞,攻击者可构造恶意请求,在GitLab服务器上执行任意代码,控制服务器。以下是漏洞详情:
漏洞详情
来源:Gitlab MaRkdown 远程代码执行漏洞 CVSS评分:9.9 严重程度:严重
GitLab社区版(CE)和企业版(EE)中存在严重漏洞,未经授权但经过身份验证的用户可以通过不安全的,用户可控的MaRkdown渲染代码,从而造成代码执行。
受影响产品
此漏洞影响以下版本:
Gitlab CE/EE 13.9.4之前版本
Gitlab CE/EE 13.8.6之前版本
Gitlab CE/EE 13.7.9之前版本
解决方案
目前官方已在最新版本中修复了该漏洞,请受影响的用户尽快升级至以下版本进行防护:
建议升级至以下安全版本
Gitlab CE/EE 13.9.4
Gitlab CE/EE 13.8.6
Gitlab CE/EE 13.7.9
官方下载链接:https://about.Gitlab.coM/update/
查看更多漏洞信息 以及升级请访问官网:https://about.Gitlab.coM/Releases/2021/03/17/security-Release-Gitlab-13-9-4-Released/