微慑信息网

GitLab EE/CE 信息泄露漏洞(CVE-2020-6832)威胁通告

通告编号:NS-2020-0001

2020-01-14
TAG: GitLab EE/CE、信息泄露、CVE-2020-6832
漏洞危害: 攻击者利用此漏洞,可造成私有项目信息泄露
版本: 1.0
1

漏洞概述

北京时间1月14号,GitLab官方发布了一则重要版本更新的安全通告,修复了一个可能导致私有项目信息泄露的漏洞(CVE-2020-6832)。GitLab是一个用于仓库管理系统的开源项目,使用Git作为代码管理工具,并在此基础上搭建起来的web服务。

在使用GitLab的项目导入功能时,利用该漏洞可从私有项目中获取到敏感信息,请相关用户进行防护;更多漏洞信息预计将在30天左右公布在官方问题跟踪系统上。

参考链接:

https://about.gitlab.com/releases/2020/01/13/critical-security-release-gitlab-12-dot-6-dot-4-released/

SEE MORE →

 

2影响范围

受影响版本

  • GitLab EE 8.9.0 及之后版本

不受影响版本

  • GitLab EE/CE = 12.4.8
  • GitLab EE/CE = 12.5.7
  • GitLab EE/CE = 12.6.4

3漏洞检测

3.1  版本检测

相关用户可通过版本检测的方法判断当前应用是否存在风险。

使用如下命令可查看当前GitLab的版本:

cat   /opt/gitlab/embedded/service/gitlab-rails/VERSION

【威胁通告】GitLab EE/CE 信息泄露漏洞(CVE-2020-6832)威胁通告

若当前版本在受影响范围内,则可能存在安全风险。

 

4漏洞防护

4.1  官方升级

目前官方已在最新版本中修复了该漏洞,用户可通过版本升级进行防护。GitLab下载和安装方法请参考链接:

https://about.gitlab.com/update/

END

作者:绿盟科技安全服务部

 

原文始发于微信公众号(绿盟科技安全情报):【威胁通告】GitLab EE/CE 信息泄露漏洞(CVE-2020-6832)威胁通告

本文标题:GitLab EE/CE 信息泄露漏洞(CVE-2020-6832)威胁通告
本文链接:
(转载请附上本文链接)
http://vulsee.com/archives/vulsee_2020/0114_9959.html
转载请附本站链接,未经允许不得转载,,谢谢:微慑信息网-VulSee.com » GitLab EE/CE 信息泄露漏洞(CVE-2020-6832)威胁通告
分享到: 更多 (0)

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

微慑信息网 专注工匠精神

访问我们联系我们