描述:
GitLab 發布了 13.10.3 , 13.9.6 及 13.8.8 版本以應對於不同 GitLab 版本中發現的漏洞。
有報告指漏洞 (CVE-2021-22205) 正受到攻擊。用戶應立即為受影響的系統安裝修補程式,以減低受到網絡攻擊的風險。
受影響的系統:
- GitLab Community Edition (CE) 13.10.3、13.9.6 及 13.8.8 之前的版本
- GitLab Enterprise Edition (EE) 13.10.3、13.9.6 及 13.8.8 之前的版本
影響:
成功利用這些漏洞可在受影響的系統導致遠端執行程式碼、繞過保安限制或仿冒詐騙,視乎攻擊者利用哪些漏洞而定。
建議:
受影響產品的修補程式已發布。受影響系統的系統管理員應遵從軟件供應商的建議,立即採取行動以降低風險。
進一步資訊:
- https://about.gitlab.com/releases/2021/04/14/security-release-gitlab-13-10-3-released/
- https://www.hkcert.org/tc/security-bulletin/gitlab-multiple-vulnerabilities_20210415
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-22205
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-28965