GitLab EE和CE 信息泄露漏洞风险通告
发布时间 2020-01-14漏洞编号和级别
CVE编号:CVE-2020-6832,危险级别:严重,CVSS分值:官方未评定
影响版本
GitLab EE 8.9.0 及之后版本
漏洞概述
GitLab是美国GitLab公司的一款使用Ruby on Rails开发的、自托管的、Git(版本控制系统)项目仓库应用程序。该程序可用于查阅项目的文件内容、提交历史、Bug列表等。
GitLab官方发布了一则重要版本更新的安全通告,修复了一个可能导致私有项目信息泄露的漏洞。在使用GitLab的项目导入功能时,利用该漏洞可从私有项目中获取到敏感信息。
相关用户可通过版本检测的方法判断当前应用是否存在风险。使用如下命令可查看当前GitLab的版本:cat /opt/gitlab/embedded/service/gitlab-rails/VERSION,若当前版本在受影响范围内,则可能存在安全风险。
漏洞验证
暂无POC/EXP。
修复建议
目前官方已在最新版本中修复了该漏洞,用户可通过版本升级进行防护。GitLab下载和安装方法请参考链接:https://about.gitlab.com/update/。
参考链接
https://about.gitlab.com/releases/2020/01/13/critical-security-release-gitlab-12-dot-6-dot-4-released/
京公网安备11010802024551号