组件介绍

GitLab 是由 GitLabInc. 开发, 使用 MIT 许可证的基于网络的Git 仓库管理工具, 具有 issue 跟踪功能. 它是使用 Git 作为代码管理工具, 并在此基础上搭建起来的 web 服务.

漏洞描述

2021年10月25日, 深信服安全团队监测到一则 GitLab 组件存在远程命令执行漏洞的信息, 漏洞编号:CVE-2021-22205, 漏洞威胁等级:严重.

该漏洞是由于 GitLab 没有正确的处理传入的图像文件, 导致攻击者可利用该漏洞构造恶意数据执行远程命令, 最终造成服务器敏感性信息泄露.

影响范围

目前受影响的 GitLab 版本:

11.9 <= GitLab(CE/EE)< 13.8.8

13.9 <= GitLab(CE/EE)< 13.9.6

13.10 <= GitLab(CE/EE)< 13.10.3

官方修复建议

当前官方已发布最新版本, 建议受影响的用户及时更新升级到最新版本. 链接如下:

https://packages.gitlab.com/gitlab/