安全通告
首页技术支持 安全通告

天融信关于Gitlab CVE-2019-19628漏洞风险提示

发布时间:2019-12-11查看次数:1154
分享到

0x00背景介绍

Gitlab是一个用于仓库管理系统的开源项目,使用Git作为代码管理工具,并在此基础上搭建起来的Web服务。

0x01漏洞描述

2019年12月10日,Gitlab官方发布了安全更新,通过安全更新可知,Gitlab中存在3个漏洞。
1.由于Maven包注册表的参数处理问题,可能会导致权限提升和某些条件下的远程代码执行漏洞。
2.当将公共项目转移到私有组时,私有代码将通过Elasticsearch集成提供的GroupSearch API获取。
3.关于Git依赖项的漏洞,具体信息已在官网中公开。

0x02漏洞编号

CVE-2019-19604
CVE-2019-19629
CVE-2019-19628

0x03漏洞等级

高危

0x04受影响版本

GitLab EE 10.5 及更高的版本。
所有的GitLabOmnibus版本。

0x05修复建议

我们强烈建议上述受影响版本的安装尽快升级到最新版本。如需更新,请到官网下载。
GitLab关键安全版本:12.5.4、12.4.6和12.3.9。
更新Git依赖关系到2.22.2。
如果无法升级,请考虑禁用Elasticearch。

0x06支持热线

天融信公司后续将积极为用户提供技术支持,进行持续跟踪并及时通报进展。
获取支持联系方式如下:
拨打400-777-0777电话联系技术支持团队获得支持。

0x07声明

天融信阿尔法实验室拥有对此公告的修改和解释权,如欲转载,必须保证此公告的完整性。由于传播、利用此公告而造成的任何后果,均由使用者本人负责,天融信阿尔法实验室不为此承担任何责任。