【高危】- Gitlab 多个安全漏洞风险(CVE-2019-19604, CVE-2019-19629, CVE-2019-19628)
■ 漏洞描述
GitLab 是一个用于仓库管理系统的开源项目,使用Git作为代码管理工具,并在此基础上搭建起来的web服务。
根据Gitlab安全更新, 其中包含了3个CVE: CVE-2019-19604, CVE-2019-19629, CVE-2019-19628;
1.在某些情况下,Maven程序包注册表的参数清理不足可能导致特权提升和远程执行代码漏洞 (CVE-2019-19628) 。
2.将公共项目转移到私有组时,私有代码可能会被Elasticsearch集成提供的Group Search API泄露 (CVE-2019-19629)。
3.git依赖项中的漏洞 (CVE-2019-19604)。
■ 影响范围
CVE-2019-19628:GitLab EE 11.3 and later.
CVE-2019-19629:GitLab EE 10.5 and later.
CVE-2019-19604:all versions of GitLab Omnibus.
■ 漏洞检测
检测方法:
1、查看软件版本。
■ 漏洞修复
1.解决漏洞(CVE-2019-19628, CVE-2019-19604),升级到最新版本的gitlab(12.5.4, 12.4.6, and 12.3.9 ) 。
2.解决漏洞(CVE-2019-19629),升级到最新版本的gitlab(12.5.4, 12.4.6, and 12.3.9 ), 如果无法升级,请考虑禁用Elasticsearch。
■ 临时修复
1.限制外网访问
■ 漏洞详情
https://about.gitlab.com/blog/2019/12/10/critical-security-release-gitlab-12-5-4-released/
GitLab 是一个用于仓库管理系统的开源项目,使用Git作为代码管理工具,并在此基础上搭建起来的web服务。
根据Gitlab安全更新, 其中包含了3个CVE: CVE-2019-19604, CVE-2019-19629, CVE-2019-19628;
1.在某些情况下,Maven程序包注册表的参数清理不足可能导致特权提升和远程执行代码漏洞 (CVE-2019-19628) 。
2.将公共项目转移到私有组时,私有代码可能会被Elasticsearch集成提供的Group Search API泄露 (CVE-2019-19629)。
3.git依赖项中的漏洞 (CVE-2019-19604)。
■ 影响范围
CVE-2019-19628:GitLab EE 11.3 and later.
CVE-2019-19629:GitLab EE 10.5 and later.
CVE-2019-19604:all versions of GitLab Omnibus.
■ 漏洞检测
检测方法:
1、查看软件版本。
■ 漏洞修复
1.解决漏洞(CVE-2019-19628, CVE-2019-19604),升级到最新版本的gitlab(12.5.4, 12.4.6, and 12.3.9 ) 。
2.解决漏洞(CVE-2019-19629),升级到最新版本的gitlab(12.5.4, 12.4.6, and 12.3.9 ), 如果无法升级,请考虑禁用Elasticsearch。
■ 临时修复
1.限制外网访问
■ 漏洞详情
https://about.gitlab.com/blog/2019/12/10/critical-security-release-gitlab-12-5-4-released/