GitLab是一个利用Ruby on Rails开发的开源应用程序,实现一个自托管的Git项目仓库,可通过Web界面进行访问公开的或者私人项目。2016年11月3日,美国众测平台HackerOne公布了GitLab的目录遍历漏洞。漏洞的发现者为Jobert Abma,同时表示该漏洞可导致远程命令执行。
漏洞预览
conggitlab 8.9kaishi�������,gitlabyunxuyonghudaoruhuozhedaochutamen�������detarwenjian�������。zai8.13.0banbenzhiqian�������,zheigegongneng�������shizhiyouguanliyuancaikeyishiyong�������。8.13.0banbenzhihou�������,zheigegongnengkaifangji�������deyonghujinxingshiyong�������,zhiyaoyouguanliyuanxuke�������。youyugitlabmeiyoujianchafuhaolianjie(symlinks)�������,yincijingguoshenfenyanzheng�������deyonghukeyijiansuorenhegitlabzhanghuzhong�������dewenjian�������,shenzhi�������shisecret tokensdengminganxinxi�������。yinweigailoudongkeyifangwendaosecret tokens�������,youlesecrethou�������,cookiekeyizaigitlabzhongbeimarshalledheresigned�������,suoyigailoudongyoukeyidaozhiyuanchengminglingzhixing�������。
漏洞编号
cve-2016-9086������。
影响版本
湖北快38.13.0zhi8.13.2
8.12.0zhi8.12.7
8.11.0zhi8.11.9
湖北快38.10.0zhi8.10.12
8.9.0zhi8.9.11
修复方式
gitlabguanfangqiangliejianyisuoyou��deyonghuqinglikeduiziji��degitlabjinxingshengji��。dan��shizhuyi��,banbenhaowei8.9.0zhi8.9.11bingmeiyouxiangguanbuding��。ruguomeiyoubanfajinxingshengji��,huozhewuxiufubuding��,keyicaiquyixiafangfaxiubugailoudong��。
1.xuanzeadmin area
湖北快32.dianjisettings
3.zaiimport sourcesxiamianguanbigitlab exportzheigexuanxiang
4.dianjisave
验证修复
湖北快31.shouxianzailiulanqidenglurenyigitlabzhanghao
湖北快32.dianjiprojects
湖北快33.dianjinew projectchuangjianyigexiangmu
湖北快34.shururenyixiangmumingcheng
5.ruguolimianmeiyouchuxiangitlab export������,neimejiubiaoshiloudongyijingxiufu
*转载来自FreeBuf(FreeBuf.com)
