服务公告
GitLab 远程代码执行漏洞预警
2021-03-18
一、概要
近日,华为云关注到GitLab官方发布安全公告,披露从13.2版本开始的所有Gitlab CE/EE存在一处严重级别的远程代码执行漏洞,未经身份验证的攻击者利用漏洞可在服务器上执行任意代码。
华为云提醒使用GitLab的用户尽快安排自检并做好安全加固。
参考链接:Remote code execution via unsafe user-controlled markdown rendering options
二、威胁级别
威胁级别:【严重】
(说明:威胁级别共四级:一般、重要、严重、紧急)
三、漏洞影响范围
影响版本:
Gitlab CE/EE < 13.9.4
Gitlab CE/EE < 13.8.6
Gitlab CE/EE < 13.7.9
安全版本:
Gitlab CE/EE 13.9.4
Gitlab CE/EE 13.8.6
Gitlab CE/EE 13.7.9
四、漏洞处置
目前官方已在新版本中修复了该漏洞,请受影响的用户升级至安全版本:
https://about.gitlab.com/update/
注:修复漏洞前请将资料备份,并进行充分测试。
