GitLab 7月多个清静误差

宣布时间 2021-07-02

0x00 误差概述

image.png

GitLab是一个用于客栈治理系统的开源项目,其使用Git作为代码治理工具,可通过Web界面会见果真或私人项目 。

2021年07月01日,GitLab宣布清静通告,修复了GitLab社区版(CE)和企业版(EE)中的多个清静误差,攻击者可以使用这些误差造成信息泄露、拒绝服务、未授权会见或执行其它操作 。

 

0x01 误差详情

本次修复的误差涉及Dos、CSRF、信息泄露、未授权会见、XSS以及HTML注入等,这些误差的CVSSv3评分规模为3.5-7.7 。

其中,高危误差为2个(划分为Dos和CSRF),中危误差为15个(如私人项目信息泄露、拒绝为用户设置文件页面提供服务、停用的用户可以通过GraphQL会见数据,以及种种XSS误差等),低危误差为2个(如全名字段中的HTML注入) 。

 

部分误差详情如下:

GitLab Webhook Dos误差

GitLab的Webhook功效可以被滥用来执行拒绝服务攻击,该误差的CVSS评分为7.7 。该误差的使用重漂后低、所需权限低,且无需用户交互 。

 

GraphQL API CSRF误差

GitLab的GraphQL API保存跨站请求伪造误差,攻击者可以通过GET请求执行更改操作,该误差的CVSS评分为7.1 。该误差无需特殊权限即可使用,并且使用重漂后低,但需用户交互 。

 

影响规模

Gitlab CE/EE < 14.0.2

Gitlab CE/EE < 13.12.6

Gitlab CE/EE < 13.11.6

 

0x02 处置惩罚建议

现在这些误差已经修复,建议升级至以下版本:

Gitlab CE/EE  14.0.2

Gitlab CE/EE  13.12.6

Gitlab CE/EE  13.11.6

下载链接:

https://about.gitlab.com/update/

 

0x03 参考链接

https://about.gitlab.com/releases/2021/07/01/security-release-gitlab-14-0-2-released/

https://about.gitlab.com/update/

 

0x04 时间线

2021-07-01    GitLab宣布清静通告

2021-07-02    VSRC宣布清静通告

 

0x05 附录

CVSS评分标准官网:http://www.first.org/cvss/

image.png