【漏洞情报】GitLab多个漏洞预警情报

【漏洞详情】

GitLab是一个用于仓库管理系统的开源项目,使用Git作为代码管理工具,并在此基础上搭建起来的web服务。近日, 平安云安全监测到GitLab官方发布了重要版本更新通告,公布了三个GitLab EE(企业版)的高危漏洞:

CVE-2019-19628:由于maven包的注册中心没有做好准确的参数设置,攻击者可在一定条件下实现权限提升和远程代码执行。

CVE-2019-19629:在将公共项目导入私有群组时,Elasticsearch上集成的Group Search API可能导致私有代码泄露。

CVE-2019-19604:用户在使用git submodule update功能时,攻击者利用该漏洞可执行定义在.gitmodules文件中的任意命令。

【风险评级】

高危

【影响范围】

漏洞

受影响版本

不受影响版本

CVE-2019-19628

GitLab EE 11.3 及更高版本

GitLab EE = 12.3.9
GitLab EE = 12.4.6
GitLab EE = 12.5.4

CVE-2019-19629

GitLab EE 10.5 及更高版本

GitLab EE = 12.3.9
GitLab EE = 12.4.6
GitLab EE = 12.5.4

CVE-2019-19604

Git 2.20.0-2.20.1
Git 2.21.0
Git 2.22.0-2.22.1
Git 2.23.0
Git 2.24.0
所有版本的GitLab Omnibus

Git 2.20.2
Git 2.21.1
Git 2.22.2
Git 2.23.1
Git 2.24.1
GitLab EE = 12.3.9
GitLab EE = 12.4.6
GitLab EE = 12.5.4

【修复建议】

      建议受影响用户综合评估漏洞风险和业务影响,可通过升级版本升级避免安全风险

1)   Gitlab下载和安装方法请参考链接:https://about.gitlab.com/update/

2)   Git下载和安装方法请参考链接:https://git-scm.com/download/

【参考链接】

https://gitlab.com/gitlab-com/gl-security/disclosures/blob/master/003_git_submodule/advisory.md

https://about.gitlab.com/blog/2019/12/10/critical-security-release-gitlab-12-5-4-released/

特别提醒:修复漏洞前请进行充分测试,并务必做好数据备份和快照,防止出现意外。

平安云

2019年12月16日

上一条公告 【漏洞情报】Drupal CMS多个安全漏洞预警情报
下一条公告 【漏洞情报】微软2019年12月补丁情报
咨询·建议

电话咨询

400-151-8800

邮件咨询

cloud@pingan.com

在线客服

立即咨询

工单支持

解决云产品相关技术问题

提交工单