首頁 > 安全研究 > 安全通報 > 安全通告

GitLab EE和CE 信息泄露漏洞風險通告

發布時間 2020-01-14

漏洞編號和級別


CVE編號:CVE-2020-6832,危險級別:嚴重,CVSS分值:官方未評定


影響版本


GitLab EE 8.9.0 及之后版本


漏洞概述


GitLab是美國GitLab公司的一款使用Ruby on Rails開發的、自托管的、Git(版本控制系統)項目倉庫應用程序。該程序可用于查閱項目的文件內容、提交歷史、Bug列表等。


GitLab官方發布了一則重要版本更新的安全通告,修復了一個可能導致私有項目信息泄露的漏洞。在使用GitLab的項目導入功能時,利用該漏洞可從私有項目中獲取到敏感信息。


相關用戶可通過版本檢測的方法判斷當前應用是否存在風險。使用如下命令可查看當前GitLab的版本:cat /opt/gitlab/embedded/service/gitlab-rails/VERSION,若當前版本在受影響范圍內,則可能存在安全風險。


漏洞驗證


暫無POC/EXP。


修復建議


目前官方已在最新版本中修復了該漏洞,用戶可通過版本升級進行防護。GitLab下載和安裝方法請參考鏈接:https://about.gitlab.com/update/。


參考鏈接


https://about.gitlab.com/releases/2020/01/13/critical-security-release-gitlab-12-dot-6-dot-4-released/


上一篇 下一篇