GitLab EE/CE 信息泄露漏洞(CVE-2020-6832)

来源:scanv2020.01.16

一 漏洞概述

北京时间1月14号,GitLab官方发布了一则重要版本更新的安全通告,修复了一个可能导致私有项目信息泄露的漏洞(CVE-2020-6832)。
GitLab是一个用于仓库管理系统的开源项目,使用Git作为代码管理工具,并在此基础上搭建起来的web服务。

二 漏洞危害

在使用GitLab的项目导入功能时,利用该漏洞可从私有项目中获取到敏感信息,请相关用户进行防护。

三 影响版本

受影响版本

  • GitLab EE 8.9.0 及之后版本

不受影响版本

  • GitLab EE/CE = 12.4.8

  • GitLab EE/CE = 12.5.7

  • GitLab EE/CE = 12.6.4

四 复现过程

相关用户可通过版本检测的方法判断当前应用是否存在风险。

使用如下命令可查看当前GitLab的版本:

cat   /opt/gitlab/embedded/service/gitlab-rails/VERSION

若当前版本在受影响范围内,则可能存在安全风险。

五 修复建议

目前官方已在最新版本中修复了该漏洞,用户可通过版本升级进行防护。GitLab下载和安装方法请参考链接:

https://about.gitlab.com/releases/2020/01/13/critical-security-release-gitlab-12-dot-6-dot-4-released/

 

热门文章

关注知道创宇云安全

获取安全动态