首页 > 业界 > 关键词 > GitLab最新资讯 > 正文

GitLab 远程代码执行漏洞通告

2021-03-19 09:30 · 稿源:开源中国

本文来自安全客平台(www.anquanke.com),作者:安全客,站长之家经授权转载。

0x01漏洞简述

2021年03月18日,360CERT监测发现GitLab官方发布了GitLab 代码执行的风险通告,漏洞等级:严重,漏洞评分:9.9

未经授权但经过身份验证的用户,能够利用该漏洞在服务器上执行任意代码。

对此,360CERT建议广大用户及时将GitLab升级到最新版本。与此同时,请做好资产自查以及预防工作,以免遭受黑客攻击。

0x02风险等级

360CERT对该漏洞的评定结果如下

评定方式等级
威胁等级严重
影响面广泛
360CERT评分9.9

0x03漏洞详情

代码执行漏洞

GitLab社区版(CE)和企业版(EE)中存在严重漏洞,未经授权但经过身份验证的用户可以通过不安全的,用户可控的markdown渲染代码,从而造成代码执行。

0x04影响版本

– GitLab:GitLab: <13.9.4/<13.8.6/<13.7.9

0x05修复建议

通用修补建议

升级到最新版本:

官方下载页面。

0x06相关空间测绘数据

360安全大脑-Quake网络空间测绘系统通过对全网资产测绘,发现GitLab具体分布如下图所示。

0x07产品侧解决方案

360城市级网络安全监测服务

360CERT的安全分析人员利用360安全大脑的QUAKE资产测绘平台(quake.360.cn),通过资产测绘技术的方式,对该漏洞进行监测。可联系相关产品区域负责人或(quake#360.cn)获取对应产品。

0x08时间线

2021-03-16 Gitlab官方发布通告

2021-03-18 360CERT发布通告

0x09参考链接

1、 Gitlab官方通告

0x0a特制报告下载链接

一直以来,360CERT对全球重要网络安全事件进行快速通报、应急响应。为更好地为政企用户提供最新漏洞以及信息安全事件的安全通告服务,现360CERT正式推出安全通告特制版报告,以便用户做资料留存、传阅研究与查询验证。 用户可直接通过以下链接进行特制报告的下载。

GitLab 远程代码执行漏洞通告

这篇文章对你有价值吗?

  • 相关推荐
  • 大家在看
  • GitLab 将默认分支名 master 改为 main

    继 GitHub 等之后,GitLab 也宣布使用"main"代替"master"作为新的默认分支名。值得注意的是,此举只会影响在 GitLab 中创建的新项目,现有项目不会受到影响。

  • 自 Microsoft 披露四个零日漏洞,全球组织遭受的漏洞攻击增加两倍

    继当前影响 Microsoft Exchange Server 的四个零日漏洞被披露之后,Check Point Research (CPR) 公布了其对这些漏洞利用尝试的最新全球跟踪观察结果。 ? CPR 观察到数百次针对全球组织的漏洞利用尝试。 ? 仅在过去的72 小时内,CPR 观察到的漏洞利用尝试次数便增加了5 倍以上。 ? 遭受攻击最多的国家是美国 (21%),其次是荷兰 (12%) 和土耳其 (12%)。 ? 首当其冲的行业部门是政府/军事部门 (27%),其次是制造业 (22%) 和软件厂商

  • 已存在 15 年之久的 Linux 内核漏洞让攻击者获得 root 权限

    近日,在 Linux 内核的 iSCSI 子系统中发现的三个漏洞可能会允许具有基本用户权限的本地攻击者在未打补丁的 Linux 系统上获得 root 权限。

  • WeLab 发力隐私计算,破解数据共享和信息安全难题

    两会期间,“数据安全”成为热门议题,多位人大代表、政协委员聚焦数据安全,在数据安全防护以及立法方面纷纷献言献策。其中呼吁“强化金融数据场景应用监管,防范数据安全保护的交叉风险;依托金融基础设施探索数据资源的共享流通;加快推进数据产权相关立法研究的建议”被广泛关注。WeLab集团作为亚洲领先的金融科技集团,一直将用户信息安全放在重要位置,从 2019 年开始就将隐私计算作为未来三大战略目标,利用创新技术不断更?

  • WeLab天冕大数据实验室正式更名为“天冕科技”

    2021 年 3 月 5 日,亚洲领先的金融科技集团WeLab旗下的一站式金融科技服务商“天冕大数据实验室”启用“天冕科技”为全新品牌。WeLab依托集团自身千亿级的客户信贷处理经验, 2015 年就开始输出金融科技能力,并孵化了B端品牌——天冕大数据实验室(现更名天冕科技)。随着集团深化金融科技领域的布局,天冕科技自 2019 年便加快技术、产品升级,在隐私计算、人工智能以及数据中台等前沿科技领域发力,此次更名正是顺应集团战略发

  • 安全人员发现CPU重大漏洞:AMD、Intel、苹果、三星纷纷中招

    当代的CPU设计非常复杂,被发现有漏洞是很正常的,现在又多了一个新的漏洞,而且影响广泛,AMD、Intel、苹果甚至三星的处理器全都中招了。

  • 匠心打造专业数字绘图工具,Xencelabs携新品全球隆重首发

    Xencelabs(马蒂斯)全球线上发布会于2021年2月24日在美国成功举行。 Xencelabs全球产品总监 Michael Thompson在会上介绍了品牌与产品的设计理念,并提出:“在专业数字绘图领域, Xencelabs深入洞察艺术家和设计师等创意工作者的真实感受及需求,不断探索创新,匠心打造出全新的专业数字绘图工具,为CG世界带来全新的选择。” 多家知名海外媒体参会并给予好评,认为 Xencelabs产品独具匠心,它将深刻影响和改变现有的专业数字绘图?

  • 明星隐私频遭泄露,神指宝盒堵住病历资料漏洞

    吴亦凡的就医检查报告在网络流传,乐嘉的急诊手术单被网友围观,林俊杰使用过的吊水针头被粉丝售卖......明星真的不需要隐私吗?我国目前暂时未出台涉及个人隐私的相关法律,但国家对公民信息保护却很重视,《最高人民法院 最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第三条规定:向特定人提供公民个人信息,以及通过信息网络或者其他途径发布公民个人信息的,应当认定为刑法第二百五十三条之一规定?

  • 网易云音乐旗下“青云LAB”工作室启动,将挖掘潜力红人

    今天,网易云音乐宣布,旗下青云LAB工作室正式启动,该工作室成立目的是高效挖掘潜力红人并匹配优质词曲,结合专业宣发团队和全面的站内外推广资源,全力打造品质爆款歌曲。

  • 涉嫌诈骗!两人利用抵用券漏洞获利770万被抓

    近日,在上海,两人利用抵用券漏洞获利770万的事情引发关注。商家报案称,他们在定期对公司所运营的APP后台进行梳理时,发现2020年11月至12月期间,有约1600笔利用公司发售的抵用券进行购买的记录存在异常,经后台比对,发现有2个客户反复使用同一抵用券进行刷单。

  • 谷歌曝光7个黑客利用的零日漏洞:iOS、Android和Windows无一幸免

    随着人们掌握的安全漏洞知识越来越多,随之而来的则是越来越多的漏洞被发现和利用。据外媒报道,近日,谷歌的互联网安全团队“Project Zero”披露了 2020 年 7 个零日漏洞,黑客利用这些漏洞入侵了iOS、Android和Windows设备。

  • WeLab(匯立)获安联集团Allianz X投资近5亿元人民币,双方达成战略合作联盟

    中国香港, 2021年3月8日——今日,亚洲领先的金融科技集团WeLab(匯立金融控股)宣布获得全球领先的保险及资产管理公司安联集团旗下的数字投资部门Allianz X投资近5亿元人民币(即7,500万美元),初步完成其C-1轮融资。WeLab自2013年创立以来,屡获全球知名投资者支持, 集团累计战略融资金额已超过42亿元人民币。同时,WeLab与安联集团正式达成战略合作,携手布局亚洲金融科技及数字化金融服务,WeLab将以科技创新为驱动,成为安?

  • CoinBene满币战略顾问Stella:Rollup是最有潜力的Layer2方案

    CoinBene满币战略顾问Stella在直播节目中表示,“关于以太坊拥堵这件事,大家深有感触。目前Layer2解决方案有:状态通道、侧链、Plasma、Optimistic Rollups、Zk Rollup等等。从技术角度来看,未来更有发展潜力的是Rollup,这是因为侧链和其他 EVM ,兼容公链的安全性都是独立于以太坊之外,而 Rollup 类扩容方案是可以基于以太坊本身的安全性,去构建DeFi应用生态,同时还能通过牺牲小至可忽略的安全、体验代价,获取百倍的性能提

  • CoinBene满币战略顾问Stella:NFT让玩游戏赚钱更易实现

    CoinBene满币生态负责人Janice在AMA中表示,“行业里有层出不穷的项目,每个项目的白皮书里都充满了未来、科技这些词,除了投资价值之外,项目本身对大部分用户来说,感知力很低,但NFT除外,我认为它是离大众生活最近的技术,因为它在重塑的是音乐、艺术、版权、游戏,这些生活里息息相关的东西。其中游戏在NFT技术的推动下,用户通过玩游戏赚钱将更易于实现。随着区块链支付网络的中期可扩展性以及各种解决方案的推出,低费用的?

  • 三星一款Galaxy Tab平板通过FCC认证,处理器为Helio P22T

    在全球平板电脑市场上,苹果的iPad长期以来都取得第一的市场份额,不过三星也在安卓平板市场中占据一席之地,现在又一款三星Galaxy Tab通过了美国联邦通信委员会(FCC)认证,可能很快发布。

  • 重橙网络联合Adobe技术团队,钻研提升Flash Player安全性

    被大众所熟知的Flash Player是一款广泛使用的、专有的多媒体程序播放器。在互联网应用早期,Flash Player能够使用矢量图形技术来最小化文件大小、节省网络带宽,因而成为嵌入网页中的小游戏、动画以及图形用户界面常用的格式,为互联网生活增添了不少动效及色彩。2019 年以来, 2020 年后Flash Player将停止运营的流言四起,而现在, 2021 年已至,舆论中心的Flash Player却以合作的方式获得新生,Flash小游戏、swf课件播放、视频?

  • CoinBene满币战略顾问Stella:混合算法协议可以提高稳定币的稳定性

    CoinBene满币战略顾问Stella在直播节目中表示,“我们都知道,数字货币的不稳定促使稳定币的诞生。稳定币现在已经有了非常强的应用价值,目前以太坊网络之中的 USDT 转账的价值比任何其他 ERC-20 代币都要多,甚至ETH。基于设计概念稳定币可以分为两类,MakerDAO的 Dai这类质押稳定币,另一类是算法稳定币,比如Tether,BUSD,USDC。尽管他们都被广泛的使用,但实际上没有一个始终保持稳定。这个问题是由于稳定币协议设计上的缺陷?

  • Google 重磅发布 Flutter 2 !一套代码横扫 5 大系统

    作为谷歌免费开源的 UI 工具包,Flutter 帮助许多开发者构建了多平台应用,支持移动、Web、桌面和嵌入式平台,仅在 Google Play Store 平台上就有已超过15万个基于 Flutter 开发的应用,国内我们熟知的闲鱼 App、以及“国民应用”微信,均使用了 Flutter 进行开发。

  • 在内存只有24KB的电脑上写操作系统,是怎样的体验?

    UNIX是什么?它是计算机历史上的一座丰碑、一种文化、一种哲学、一个传奇。它看不见,但万物中都有它的影子。如果没有它,谷歌、脸书、亚马逊可能不会存在;Office办公软件可能要晚很多年出现;苹果电脑也不再优雅,因为没有了MacOS;导航软件、智能家电、物联网也不会大大改变人们的生活;而如今人人离不开的手机,也会因缺少安卓系统而少了很多精彩。

  • 三星Galaxy Watch 4和Watch Active 4将于第二季度发布

    三星目前在售的最新智能手表是Galaxy Watch3 和Galaxy Watch Active3。不出意外的话,今年三星将会推出后继机型,现在传闻下一代的型号会在第二季度就发布。

  • 热门标签

热文

  • 3 天
  • 7天