尊龙凯官网入口

首页 > 清静研究 > 清静转达 > 清静通告

GitLab 7月多个清静误差

宣布时间 2021-07-02

0x00 误差概述

GitLab是一个用于客栈管理系统的开源项目，其使用Git作为代码管理工具，可通过Web界面会见果真或私人项目。

2021年07月01日，GitLab宣布清静通告，修复了GitLab社区版（CE）和企业版（EE）中的多个清静误差，攻击者可以使用这些误差造成信息泄露、拒绝服务、未授权会见或执行其它操作。

0x01 误差详情

本次修复的误差涉及Dos、CSRF、信息泄露、未授权会见、XSS以及HTML注入等，这些误差的CVSSv3评分规模为3.5-7.7。

其中，高危误差为2个（划分为Dos和CSRF），中危误差为15个（如私人项目信息泄露、拒绝为用户设置文件页面提供服务、停用的用户可以通过GraphQL会见数据，以及种种XSS误差等），低危误差为2个（如全名字段中的HTML注入）。

部分误差详情如下：

GitLab Webhook Dos误差

GitLab的Webhook功效可以被滥用来执行拒绝服务攻击，该误差的CVSS评分为7.7。该误差的使用重漂后低、所需权限低，且无需用户交互。

GraphQL API CSRF误差

GitLab的GraphQL API保存跨站请求伪造误差，攻击者可以通过GET请求执行更改操作，该误差的CVSS评分为7.1。该误差无需特殊权限即可使用，并且使用重漂后低，但需用户交互。

影响规模

Gitlab CE/EE < 14.0.2

Gitlab CE/EE < 13.12.6

Gitlab CE/EE < 13.11.6

0x02 处置惩罚建议

现在这些误差已经修复，建议升级至以下版本：

Gitlab CE/EE 14.0.2

Gitlab CE/EE 13.12.6

Gitlab CE/EE 13.11.6

下载链接：

https://about.gitlab.com/update/

0x03 参考链接

https://about.gitlab.com/releases/2021/07/01/security-release-gitlab-14-0-2-released/

https://about.gitlab.com/update/

0x04 时间线

2021-07-01 GitLab宣布清静通告

2021-07-02 VSRC宣布清静通告

0x05 附录

CVSS评分标准官网：http://www.first.org/cvss/

上一篇下一篇

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

Copyright ? 尊龙凯官网入口版权所有京ICP备05032414号京公网安备11010802024551号