【安全通告】 Gitlab远程代码执行漏洞安全风险通告
摘要:
尊敬的腾讯云用户,您好!
近日,腾讯云安全运营中心监测到,Gitlab官方发布安全更新,披露出远程代码执行漏洞。攻击者可利用该漏洞在服务器上执行任意代码。
为避免您的业务受影响,腾讯云安全建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。
漏洞详情
Gitlab是一款基于Git的完全集成的软件开发平台。
该漏洞由于攻击者可通过不安全的、可控的markdown渲染代码,从而造成代码执行。
风险等级
高风险
漏洞风险
漏洞被利用可导致远程代码执行
影响版本
影响从 13.2 开始到下列版本的所有版本:
GitLab < 13.9.4
GitLab < 13.8.6
GitLab < 13.7.9
安全版本
GitLab >= 13.9.4
GitLab >= 13.8.6
GitLab >= 13.7.9
修复建议
1.官方已发布漏洞修复版本,建议所有GitLab社区版(CE)和企业版(EE)用户升级至上述安全版本。
下载链接:
https://about.gitlab.com/update/
2.如无必要,请将Gitlab服务器部署于内网环境,或者可通过安全组设置白名单 IP 访问
【备注】:建议您在安装补丁前做好数据备份工作,避免出现意外
漏洞参考
官方安全公告: