首頁 > 安全研究 > 安全通報 > 安全通告

Gitlab多個安全漏洞風險通告

發布時間 2019-12-11

漏洞編號和級別


CVE編號:CVE-2019-19604,危險級別:高危,CVSS分值:官方未評定

CVE編號:CVE-2019-19628,危險級別:高危,CVSS分值:官方未評定

CVE編號:CVE-2019-19629,危險級別:高危,CVSS分值:官方未評定


影響版本


所有的GitLabOmnibus版本

GitLab EE 11.3 及更高的版本

GitLab EE 10.5 及更高的版本


漏洞概述


Gitlab是一個用于倉庫管理系統的開源項目,使用Git作為代碼管理工具,并在此基礎上搭建起來的Web服務。


CVE-2019-19604

git子模塊更新操作可以導致執行.gitmodules文件中定義的任意shell命令。


CVE-2019-19628

由于Maven包注冊表的參數處理問題,可能會導致權限提升和某些條件下的遠程代碼執行漏洞。


CVE-2019-19629

當將公共項目轉移到私有組時,私有代碼將通過Elasticsearch集成提供的GroupSearch API獲取。


漏洞驗證


EXP:CVE-2019-19604

https://gitlab.com/gitlab-com/gl-security/disclosures/blob/master/003_git_submodule/advisory.md;


CVE-2019-19628,CVE-2019-19628


暫無EXP/POC。


修復建議


上述受影響版本的安裝盡快升級到最新版本。如需更新,請到官網下載:https://about.gitlab.com/update;

GitLab關鍵安全版本:12.5.4、12.4.6和12.3.9;

更新Git依賴關系到2.22.2;

如果無法升級,請考慮禁用Elasticearch。


參考鏈接


https://about.gitlab.com/blog/2019/12/10/critical-security-release-gitlab-12-5-4-released/


上一篇 下一篇