尊敬的用戶，您好！

近日，互聯(lián)網(wǎng)安全運(yùn)營中心監(jiān)測到，Gitlab官方發(fā)布安全更新，其中修復(fù)多個安全漏洞，此次披露的任意文件讀取漏洞風(fēng)險(xiǎn)較高。攻擊者可利用該漏洞在服務(wù)器上讀取任意文件內(nèi)容。 

為避免您的業(yè)務(wù)受影響，棉花云安全建議您及時開展安全自查，如在受影響范圍，請您及時進(jìn)行更新修復(fù)，避免被外部攻擊者入侵。

漏洞詳情

Gitlab是一款基于Git的完全集成的軟件開發(fā)平臺。

該漏洞使攻擊者可通過特制的導(dǎo)入文件讀取服務(wù)器上的任意文件。 目前暫未分配cve編號。

風(fēng)險(xiǎn)等級

高風(fēng)險(xiǎn)

漏洞風(fēng)險(xiǎn)

漏洞被利用可導(dǎo)致任意文件讀取

影響版本

影響 13.9 之后的所有版本：

GitLab < 13.9.5

GitLab < 13.10.1

GitLab < 13.8.7

安全版本

GitLab >= 13.9.5

GitLab >= 13.10.1

GitLab >= 13.8.7

修復(fù)建議

1.官方已發(fā)布漏洞修復(fù)版本，建議所有GitLab社區(qū)版(CE)和企業(yè)版(EE)用戶升級至上述安全版本。下載鏈接：

https://about.gitlab.com/update/ 

2.如無必要，請將Gitlab服務(wù)器部署于內(nèi)網(wǎng)環(huán)境，或者可通過安全組設(shè)置白名單 IP 訪問

【備注】：建議您在安裝補(bǔ)丁前做好數(shù)據(jù)備份工作，避免出現(xiàn)意外

漏洞參考

官方安全公告：

https://about.gitlab.com/releases/2021/03/31/security-release-gitlab-13-10-1-released/ 

棉花云運(yùn)營部