GitLab 存在多個高危安全漏洞的緊急預警
發布時間:2022-01-18
點擊數:
一、安全預警
近期,發現 GitLab 存在多個高危安全漏洞,GitLab 是一個 用于倉庫管理系統的開源項目,使用 Git 作為代碼管理工具,并 在此基礎上搭建起來的 Web 服務。應用范圍較廣,因此威脅影 響范圍較大。 請各重點單位高度重視,加強網絡安全防護,切實保障網絡 系統安全穩定運行。
二、事件信息
(一)事件概要
事件名稱:GitLab 存在多個高危安全漏洞
CVE 編號:CVE-2021-39946、CVE-2022-0154
威脅類型:任意文件讀取 XSS 跨站腳本漏洞 認證繞過漏洞
威脅等級:高
受影響的應用版本:7.7 <= GitLab < 14.4.5 ? 14.5.0 <= GitLab < 14.5.3 ? 14.6.0 <= GitLab < 14.6.2
(二)漏洞描述
組導入功能讀取任意文件漏洞(暫無漏洞編號)
該漏洞是由于文件處理不正確,導致可以通過導入組來讀取 任意文件,漏洞影響從 14.5 開始的所有版本。
Notes 存在存儲型 XSS 跨站腳本漏洞(CVE-2021-39946)
在 14.3 到 14.3.6、14.4 到 14.4.4 和 14.5 到 14.5.2 的版 本中,允許攻擊者通過濫用與表情符號相關的 HTML 代碼的生 成來利用 XSS。
GitHub 導入項目 OAuth 缺少狀態參數(CVE-2022-0154)
在 7.7 到 14.4.5 的所有版本、 14.5.0 到 14.5.3 的所有版 本以及 14.6.0 到 14.6.2 的所有版本中,GitLab 容易受到跨站點 請求偽造攻擊,該攻擊允許惡意用戶將其 GitHub 項目導入另一 個 GitLab 用戶帳戶。
(三)影響范圍
7.7 <= GitLab < 14.4.5 ? 14.5.0 <= GitLab < 14.5.3 ? 14.6.0 <= GitLab < 14.6.2
三、處置建議
(一)解決方案
官方已發布更新補丁,鏈接地址如下: https://about.gitlab.com/update/
四、應急處置建議
一旦發現系統中存在漏洞被利用的情況,請您第一時間通知我司,同時開展以下緊急處置:
一是立即斷開被入侵的主機系統的網絡連接,防止進一步危 害
二是留存相關日志信息;
三是通過“解決方案”加固系統并通過檢查確認無相關漏洞 后再恢復網絡連接
