CDN加速

产品动态 > 正文

【漏洞预警】Gitlab Wiki API 远程代码执行漏洞

2018-10-31

“ 10 月 29 号,Gitlab 官方发布安全更新通告,其中针对一个远程代码执行漏洞进行了修复。CVE编号为CVE-2018-18649。
官方公告:
https://about.gitlab.com/2018/10/29/security-release-gitlab-11-dot-4-dot-3-released/”

“ 事件回顾”
Gitlab Wiki API 是一组用于对Gitlab项目Wiki页面进行创建、编辑、列表、删除等功能的接口。Gitlab Wiki API 在处理外部输入时存在过滤检查不当的问题,导致攻击者可以通过发送特定的请求数据包,在 Gitlab 服务端执行任意代码。

你以为你卖的是货,其实你卖的是体验

“ 影响范围”
Gitlab CE/EE 11.3 及之后的版本

“官方修复方案”
升级Gitlab CE/EE至最新版本,官方升级引导链接:https://about.gitlab.com/update/

“ 网宿云安全建议”
漏洞修复之前,可以采用临时解决方案,降低漏洞的影响,为修复漏洞争取时间:
1.进入Gitlab实例的/admin/application_settings页面
2.在"Import sources"选项下取消"GitLab export"的选中复选框
3.点击Save保存
网宿云安全已开通漏洞响应快速通道,受本次漏洞影响的网站负责人可以致电网宿科技7*24小时客服热线,在安全专家的指导下快速接入网站,进行防护指导。

网宿云WAF能够防护已知的各类漏洞,同时,还可以基于对大量监控数据的实时分析,可以第一时间发现并防护新出现的漏洞,保障网站底层框架的安全。

漏洞响应快速通道400-010-0617