湖北快3

EN
您当前的位置: 湖北快3 - 网络安全 - 通告和预警 - 正文

【漏洞预警】GitLab未授权访问漏洞可导致远程命令执行

时间:2016-12-14 阅读: 我要纠错

GitLab是一个利用Ruby on Rails开发的开源应用程序,实现一个自托管的Git项目仓库,可通过Web界面进行访问公开的或者私人项目。2016年11月3日,美国众测平台HackerOne公布了GitLab的目录遍历漏洞。漏洞的发现者为Jobert Abma,同时表示该漏洞可导致远程命令执行。


漏洞预览

conggitlab 8.9kaishi,gitlabyunxuyonghudaoruhuozhedaochutamendetarwenjian。zai8.13.0banbenzhiqian,zheigegongnengshizhiyouguanliyuancaikeyishiyong。8.13.0banbenzhihou,zheigegongnengkaifangjideyonghujinxingshiyong,zhiyaoyouguanliyuanxuke。youyugitlabmeiyoujianchafuhaolianjie(symlinks),yincijingguoshenfenyanzhengdeyonghukeyijiansuorenhegitlabzhanghuzhongdewenjian,shenzhishisecret tokensdengminganxinxi。yinweigailoudongkeyifangwendaosecret tokens,youlesecrethou,cookiekeyizaigitlabzhongbeimarshalledheresigned,suoyigailoudongyoukeyidaozhiyuanchengminglingzhixing。 

漏洞编号

cve-2016-9086。 

影响版本

湖北快38.13.0zhi8.13.2 

8.12.0zhi8.12.7 

8.11.0zhi8.11.9 

湖北快38.10.0zhi8.10.12 

8.9.0zhi8.9.11 

修复方式

gitlabguanfangqiangliejianyisuoyoudeyonghuqinglikeduizijidegitlabjinxingshengji。danshizhuyi,banbenhaowei8.9.0zhi8.9.11bingmeiyouxiangguanbuding。ruguomeiyoubanfajinxingshengji,huozhewuxiufubuding,keyicaiquyixiafangfaxiubugailoudong。 

1.xuanzeadmin area 

湖北快32.dianjisettings 

3.zaiimport sourcesxiamianguanbigitlab exportzheigexuanxiang 

4.dianjisave 

验证修复

湖北快31.shouxianzailiulanqidenglurenyigitlabzhanghao 

湖北快32.dianjiprojects 

湖北快33.dianjinew projectchuangjianyigexiangmu 

湖北快34.shururenyixiangmumingcheng 

5.ruguolimianmeiyouchuxiangitlab export,neimejiubiaoshiloudongyijingxiufu 

*转载来自FreeBuf(FreeBuf.com)