GitLab 远程命令执行漏洞
日期:2021-10-26 11:29:51 发布人:教育信息化建设处 浏览量:445
组件介绍
GitLab 是由 GitLabInc. 开发, 使用 MIT 许可证的基于网络的Git 仓库管理工具, 具有 issue 跟踪功能. 它是使用 Git 作为代码管理工具, 并在此基础上搭建起来的 web 服务.
漏洞描述
2021年10月25日, 深信服安全团队监测到一则 GitLab 组件存在远程命令执行漏洞的信息, 漏洞编号:CVE-2021-22205, 漏洞威胁等级:严重.
该漏洞是由于 GitLab 没有正确的处理传入的图像文件, 导致攻击者可利用该漏洞构造恶意数据执行远程命令, 最终造成服务器敏感性信息泄露.
影响范围
目前受影响的 GitLab 版本:
11.9 <= GitLab(CE/EE)< 13.8.8
13.9 <= GitLab(CE/EE)< 13.9.6
13.10 <= GitLab(CE/EE)< 13.10.3
官方修复建议
当前官方已发布最新版本, 建议受影响的用户及时更新升级到最新版本. 链接如下:
https://packages.gitlab.com/gitlab/