GitLab up to 3.0.2 代码注入漏洞

CVE编号

CVE-2013-4581

利用情况

暂无

补丁情况

N/A

披露时间

2014-05-13
漏洞描述
GitLab是一个用于仓库管理系统的开源项目。使用Git作为代码管理工具,并在此基础上搭建起来的web服务。

GitLab存在一个远程任意代码执行漏洞,允许攻击者通过Git SSH推送特制的更改请求,可在Gitlab服务器上执行任意代码。
需要攻击者有相关的SSH密钥来利用该漏洞。
解决建议
Gitlab 5.4.2, Community Edition 6.2.4, Enterprise Edition 6.2.1 (运行gitlab-shell 1.7.8)已经修复该漏洞,建议用户下载更新:
https://gitlab.com/gitlab-org/gitlab-shell
https://gitlab.com/gitlab-org
参考链接
http://www.openwall.com/lists/oss-security/2013/11/15/4
https://www.gitlab.com/2013/11/14/multiple-critical-vulnerabilities-in-gitlab/
受影响软件情况
# 类型 厂商 产品 版本 影响面
1
运行在以下环境
应用 gitlab gitlab * Up to
(including)
6.2.0
运行在以下环境
应用 gitlab gitlab * Up to
(including)
6.2.3
运行在以下环境
应用 gitlab gitlab 0.8.0 -
运行在以下环境
应用 gitlab gitlab 0.9.1 -
运行在以下环境
应用 gitlab gitlab 0.9.4 -
运行在以下环境
应用 gitlab gitlab 0.9.6 -
运行在以下环境
应用 gitlab gitlab 1.0.0 -
运行在以下环境
应用 gitlab gitlab 1.0.1 -
运行在以下环境
应用 gitlab gitlab 1.0.2 -
运行在以下环境
应用 gitlab gitlab 1.1.0 -
运行在以下环境
应用 gitlab gitlab 1.2.0 -
运行在以下环境
应用 gitlab gitlab 1.2.1 -
运行在以下环境
应用 gitlab gitlab 1.2.2 -
运行在以下环境
应用 gitlab gitlab 2.0.0 -
运行在以下环境
应用 gitlab gitlab 2.1.0 -
运行在以下环境
应用 gitlab gitlab 2.2.0 -
运行在以下环境
应用 gitlab gitlab 2.3.0 -
运行在以下环境
应用 gitlab gitlab 2.3.1 -
运行在以下环境
应用 gitlab gitlab 2.4.0 -
运行在以下环境
应用 gitlab gitlab 2.5.0 -
运行在以下环境
应用 gitlab gitlab 2.6.0 -
运行在以下环境
应用 gitlab gitlab 2.7.0 -
运行在以下环境
应用 gitlab gitlab 2.8.0 -
运行在以下环境
应用 gitlab gitlab 2.8.1 -
运行在以下环境
应用 gitlab gitlab 2.9.0 -
运行在以下环境
应用 gitlab gitlab 2.9.1 -
运行在以下环境
应用 gitlab gitlab 3.0.0 -
运行在以下环境
应用 gitlab gitlab 3.0.1 -
运行在以下环境
应用 gitlab gitlab 3.0.2 -
运行在以下环境
应用 gitlab gitlab 3.0.3 -
运行在以下环境
应用 gitlab gitlab 3.1.0 -
运行在以下环境
应用 gitlab gitlab 4.0.0 -
运行在以下环境
应用 gitlab gitlab 4.1.0 -
运行在以下环境
应用 gitlab gitlab 4.2.0 -
运行在以下环境
应用 gitlab gitlab 5.0.0 -
运行在以下环境
应用 gitlab gitlab 5.0.1 -
运行在以下环境
应用 gitlab gitlab 5.1.0 -
运行在以下环境
应用 gitlab gitlab 5.2.0 -
运行在以下环境
应用 gitlab gitlab 5.3.0 -
运行在以下环境
应用 gitlab gitlab 5.4.0 -
运行在以下环境
应用 gitlab gitlab 5.4.1 -
运行在以下环境
应用 gitlab gitlab 5.4.2 -
运行在以下环境
应用 gitlab gitlab 6.0.0 -
运行在以下环境
应用 gitlab gitlab 6.1.0 -
运行在以下环境
应用 gitlab gitlab 6.2.0 -
运行在以下环境
应用 gitlab gitlab 6.2.1 -
运行在以下环境
应用 gitlab gitlab 6.2.2 -
运行在以下环境
应用 gitlab gitlab-shell * Up to
(including)
1.7.7
运行在以下环境
应用 gitlab gitlab-shell 1.0.4 -
运行在以下环境
应用 gitlab gitlab-shell 1.1.0 -
运行在以下环境
应用 gitlab gitlab-shell 1.2.0 -
运行在以下环境
应用 gitlab gitlab-shell 1.3.0 -
运行在以下环境
应用 gitlab gitlab-shell 1.4.0 -
运行在以下环境
应用 gitlab gitlab-shell 1.5.0 -
运行在以下环境
应用 gitlab gitlab-shell 1.6.0 -
运行在以下环境
应用 gitlab gitlab-shell 1.7.0 -
运行在以下环境
应用 gitlab gitlab-shell 1.7.1 -
运行在以下环境
应用 gitlab gitlab-shell 1.7.2 -
运行在以下环境
应用 gitlab gitlab-shell 1.7.3 -
运行在以下环境
应用 gitlab gitlab-shell 1.7.4 -
运行在以下环境
应用 gitlab gitlab-shell 1.7.5 -
运行在以下环境
应用 gitlab gitlab-shell 1.7.6 -
CVSS3评分
6.8
  • 攻击路径
    网络
  • 攻击复杂度
    N/A
  • 权限要求
  • 影响范围
    N/A
  • 用户交互
  • 可用性
    部分地
  • 保密性
    部分地
  • 完整性
    部分地
AV:N/AC:M/Au:N/C:P/I:P/A:P
CWE-ID 漏洞类型
CWE-94 对生成代码的控制不恰当(代码注入)
阿里云安全产品覆盖情况