GitLab是一个基于Ruby on Rails开发的开源应用程序,提供wiki、在线编辑、问题跟踪和CI/CD等功能。它支持自托管的Git项目仓库,可以通过Web界面访问公开或私人项目。
在3月31日,GitLab官方发布了安全更新,以修复多个高危漏洞,包括项目导入任意文件读取漏洞和Wiki页面任意文件读取漏洞。以下是漏洞的详细信息:
漏洞详情
- GitLab项目导入任意文件读取漏洞
CVSS评分:9.6
严重程度:严重
在GitLab CE/EE中发现的问题,从版本13.9开始影响所有版本。特制的导入文件可以读取服务器上的文件。 - GitLab Wiki页面任意文件读取漏洞
CVSS评分:7.5
严重程度:严重
在GitLab CE/EE中发现的问题,从版本13.7.9开始影响所有版本。特制的Wiki页面允许攻击者读取服务器上的任意文件。
受影响产品
以下版本受到影响:
- GitLab CE/EE 13.9.5之前版本
- GitLab CE/EE 13.10.1之前版本
- GitLab CE/EE 13.8.7之前版本
解决方案
官方已在最新版本中修复了该漏洞,受影响的用户应尽快升级至以下版本以进行防护:
- 建议升级至GitLab CE/EE 13.9.5
- 建议升级至GitLab CE/EE 13.10.1
- 建议升级至GitLab CE/EE 13.8.7
官方下载链接:https://about.Gitlab.coM/update/
更多漏洞信息及升级详情,请访问官网:https://about.Gitlab.coM/Releases/2021/03/17/security-Release-Gitlab-13-9-4-Released/
请注意保护您的系统安全,及时更新至最新版本。
[[[IMG_1]]] [[[IMG_2]]] [[[IMG_3]]]
