关于我们

质量为本、客户为根、勇于拼搏、务实创新

< 返回

Gitlab任意文件读取漏洞安全风险通告

发布时间:2021-04-01 19:33:13

尊敬的用户,您好!

近日,互联网安全运营中心监测到,Gitlab官方发布安全更新,其中修复多个安全漏洞,此次披露的任意文件读取漏洞风险较高。攻击者可利用该漏洞在服务器上读取任意文件内容。 


为避免您的业务受影响,棉花云安全建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。


漏洞详情

Gitlab是一款基于Git的完全集成的软件开发平台

该漏洞使攻击者可通过特制的导入文件读取服务器上的任意文件。 目前暂未分配cve编号。

风险等级

高风险

漏洞风险

漏洞被利用可导致任意文件读取

影响版本

影响 13.9 之后的所有版本:

GitLab < 13.9.5

GitLab < 13.10.1

GitLab < 13.8.7

安全版本

GitLab >= 13.9.5

GitLab >= 13.10.1

GitLab >= 13.8.7

修复建议

1.官方已发布漏洞修复版本,建议所有GitLab社区版(CE)和企业版(EE)用户升级至上述安全版本。下载链接:

https://about.gitlab.com/update/ 

2.如无必要,请将Gitlab服务器部署于内网环境,或者可通过安全组设置白名单 IP 访问

【备注】:建议您在安装补丁前做好数据备份工作,避免出现意外

漏洞参考

官方安全公告:

https://about.gitlab.com/releases/2021/03/31/security-release-gitlab-13-10-1-released/ 


棉花云运营部



/template/Home/Cloud/PC/Static

立即注册棉花云账号,开启您的轻松上云之旅

立即注册