【漏洞通告】GitLab CE/EE ReDos漏洞安全风险通告
2023-7-1 09:20:41 Author: 嘉诚安全(查看原文) 阅读量:38 收藏

点击上方蓝字关注我们!

漏洞背景

近日,嘉诚安全监测到GitLab官方发布安全公告,披露了 GitLab CE/EE 存在ReDos漏洞,漏洞编号为:CVE-2023-3424。

GitLab 是一个开源的Git代码仓库系统,可以实现自托管的Github项目,即用于构建私有的代码托管平台和项目管理系统。系统基于Ruby on Rails开发,速度快、安全稳定。它拥有与Github类似的功能,能够浏览源代码,管理缺陷和注释。

鉴于漏洞危害较大,嘉诚安全提醒相关用户尽快更新至安全版本,避免引发漏洞相关的网络安全事件。

漏洞详情

经研判,该漏洞为高危漏洞。在GitLab CE/EE的Markdown字段中的EpicReferenceFilter存在ReDoS漏洞。未经身份认证的远程攻击者通过将精心设计的有效负载发送到preview_markdown端点,可以实现正则表达式拒绝服务。

危害影响

影响版本:

10.3<=GitLab CE<15.11.10

16.0<=GitLab CE<16.0.6

16.1<=GitLab CE<16.1

10.3<=GitLab EE<15.11.10

16.0<=GitLab EE<16.0.6

16.1<=GitLab EE<16.1

修复建议

根据影响版本中的信息,建议相关用户尽快更新至安全版本:

Gitlab CE >= 16.1.1

Gitlab CE >= 16.0.6

Gitlab CE >= 15.11.10

下载链接请参考:

https://about.gitlab.com/install/


文章来源: http://mp.weixin.qq.com/s?__biz=MzU4NjY4MDAyNQ==&mid=2247491847&idx=2&sn=627326413c5ae4cfcdbb45529977273a&chksm=fdf532b1ca82bba7a86d167851bd85215b925fa7345e0a5fba615c519e1b38e0f32d5d7df3c5#rd
如有侵权请联系:admin#unsafe.sh