【安全通告】 Gitlab任意文件读取漏洞安全风险通告
摘要:
尊敬的腾讯云用户,您好!
近日,腾讯云安全运营中心监测到,Gitlab官方发布安全更新,其中修复多个安全漏洞,此次披露的任意文件读取漏洞风险较高。攻击者可利用该漏洞在服务器上读取任意文件内容。
为避免您的业务受影响,腾讯云安全建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。
漏洞详情
Gitlab是一款基于Git的完全集成的软件开发平台。
该漏洞使攻击者可通过特制的导入文件读取服务器上的任意文件。 目前暂未分配cve编号。
风险等级
高风险
漏洞风险
漏洞被利用可导致任意文件读取
影响版本
影响 13.9 之后的所有版本:
GitLab < 13.9.5
GitLab < 13.10.1
GitLab < 13.8.7
安全版本
GitLab >= 13.9.5
GitLab >= 13.10.1
GitLab >= 13.8.7
修复建议
1.官方已发布漏洞修复版本,建议所有GitLab社区版(CE)和企业版(EE)用户升级至上述安全版本。下载链接:
https://about.gitlab.com/update/
2.如无必要,请将Gitlab服务器部署于内网环境,或者可通过安全组设置白名单 IP 访问
【备注】:建议您在安装补丁前做好数据备份工作,避免出现意外
漏洞参考
官方安全公告: