【漏洞详情】
GitLab是一个用于仓库管理系统的开源项目,使用Git作为代码管理工具,并在此基础上搭建起来的web服务。近日, 平安云安全监测到GitLab官方发布了重要版本更新通告,公布了三个GitLab EE(企业版)的高危漏洞:
CVE-2019-19628:由于maven包的注册中心没有做好准确的参数设置,攻击者可在一定条件下实现权限提升和远程代码执行。
CVE-2019-19629:在将公共项目导入私有群组时,Elasticsearch上集成的Group Search API可能导致私有代码泄露。
CVE-2019-19604:用户在使用git submodule update功能时,攻击者利用该漏洞可执行定义在.gitmodules文件中的任意命令。
【风险评级】
高危
【影响范围】
漏洞 |
受影响版本 |
不受影响版本 |
CVE-2019-19628 |
GitLab EE 11.3 及更高版本 |
GitLab EE = 12.3.9 |
CVE-2019-19629 |
GitLab EE 10.5 及更高版本 |
GitLab EE = 12.3.9 |
CVE-2019-19604 |
Git 2.20.0-2.20.1 |
Git 2.20.2 |
【修复建议】
建议受影响用户综合评估漏洞风险和业务影响,可通过升级版本升级避免安全风险
1) Gitlab下载和安装方法请参考链接:https://about.gitlab.com/update/
2) Git下载和安装方法请参考链接:https://git-scm.com/download/
【参考链接】
https://gitlab.com/gitlab-com/gl-security/disclosures/blob/master/003_git_submodule/advisory.md
https://about.gitlab.com/blog/2019/12/10/critical-security-release-gitlab-12-5-4-released/
特别提醒:修复漏洞前请进行充分测试,并务必做好数据备份和快照,防止出现意外。
平安云
2019年12月16日