GitLab 存在多个高危安全漏洞的紧急预警
发布时间:2022-01-18
点击数:
一、安全预警
近期,发现 GitLab 存在多个高危安全漏洞,GitLab 是一个 用于仓库管理系统的开源项目,使用 Git 作为代码管理工具,并 在此基础上搭建起来的 Web 服务。应用范围较广,因此威胁影 响范围较大。 请各重点单位高度重视,加强网络安全防护,切实保障网络 系统安全稳定运行。
二、事件信息
(一)事件概要
事件名称:GitLab 存在多个高危安全漏洞
CVE 编号:CVE-2021-39946、CVE-2022-0154
威胁类型:任意文件读取 XSS 跨站脚本漏洞 认证绕过漏洞
威胁等级:高
受影响的应用版本:7.7 <= GitLab < 14.4.5 • 14.5.0 <= GitLab < 14.5.3 • 14.6.0 <= GitLab < 14.6.2
(二)漏洞描述
组导入功能读取任意文件漏洞(暂无漏洞编号)
该漏洞是由于文件处理不正确,导致可以通过导入组来读取 任意文件,漏洞影响从 14.5 开始的所有版本。
Notes 存在存储型 XSS 跨站脚本漏洞(CVE-2021-39946)
在 14.3 到 14.3.6、14.4 到 14.4.4 和 14.5 到 14.5.2 的版 本中,允许攻击者通过滥用与表情符号相关的 HTML 代码的生 成来利用 XSS。
GitHub 导入项目 OAuth 缺少状态参数(CVE-2022-0154)
在 7.7 到 14.4.5 的所有版本、 14.5.0 到 14.5.3 的所有版 本以及 14.6.0 到 14.6.2 的所有版本中,GitLab 容易受到跨站点 请求伪造攻击,该攻击允许恶意用户将其 GitHub 项目导入另一 个 GitLab 用户帐户。
(三)影响范围
7.7 <= GitLab < 14.4.5 14.5.0 <= GitLab < 14.5.3 14.6.0 <= GitLab < 14.6.2
三、处置建议
(一)解决方案
官方已发布更新补丁,链接地址如下: https://about.gitlab.com/update/
四、应急处置建议
一旦发现系统中存在漏洞被利用的情况,请您第一时间通知我司,同时开展以下紧急处置:
一是立即断开被入侵的主机系统的网络连接,防止进一步危 害
二是留存相关日志信息;
三是通过“解决方案”加固系统并通过检查确认无相关漏洞 后再恢复网络连接