GitLab是一个利用 Ruby on RAIls 开发的开源应用程序,具有wiki以及在线编辑、iSSue跟踪、CI/CD 等功能。GitLab实现一个自托管的Git项目仓库,可通过Web界面进行访问公开的或者私人项目。3月31日Gitlab官方发布安全更新,修复了多处高危漏洞,其中包括 project IMpoRt 任意文件读取漏洞和Wiki page 任意文件读取漏洞等。以下是漏洞详情:
漏洞详情
1.Gitlab project IMpoRt 任意文件读取漏洞 CVSS评分:9.6 严重程度:严重 在GitLab CE/EE中发现了一个问题,从13.9开始影响所有版本。专门制作的导入文件可以读取服务器上的文件。
2.Gitlab Wiki page 任意文件读取漏洞 CVSS评分:7.5 严重程度:严重 在GitLab CE/EE中发现了一个问题,从13.7.9开始影响所有版本。一个专门制作的Wiki页面允许攻击者读取服务器上的任意文件。
受影响产品
此漏洞影响以下版本: Gitlab CE/EE 13.9.5之前版本 Gitlab CE/EE 13.10.1之前版本 Gitlab CE/EE 13.8.7之前版本
解决方案
目前官方已在最新版本中修复了该漏洞,请受影响的用户尽快升级至以下版本进行防护: 建议升级至以下安全版本 Gitlab CE/EE 13.9.5 Gitlab CE/EE 13.10.1 Gitlab CE/EE 13.8.7 官方下载链接:https://about.Gitlab.coM/update/ 查看更多漏洞信息 以及升级请访问官网:https://about.Gitlab.coM/Releases/2021/03/17/security-Release-Gitlab-13-9-4-Released/