【漏洞預警】Gitlab markdown 遠程代碼執行漏洞

2021-12-27 阿里雲應急響應

2021年3月18日,阿里雲應急響應中心監測到Gitlab官方發布安全更新,修復了一處遠程代碼執行漏洞。

Gitlab是一款基於Git 的完全集成的軟體開發平臺,且具有wiki以及在線編輯、issue跟蹤功能、CI/CD 等功能。2021年3月18日Gitlab官方發布安全更新,修復了一處遠程代碼執行漏洞,攻擊者可構造惡意請求,在Gitlab伺服器上執行任意代碼,控制伺服器。阿里雲應急響應中心提醒Gitlab用戶儘快採取安全措施阻止漏洞攻擊。

Gitlab markdown 遠程代碼執行漏洞 嚴重。

Gitlab CE/EE < 13.9.4

Gitlab CE/EE < 13.8.6

Gitlab CE/EE < 13.7.9

Gitlab CE/EE 13.9.4

Gitlab CE/EE 13.8.6

Gitlab CE/EE 13.7.9

1. 升級Gitlab至安全版本。

2. 將Gitlab伺服器部署於內網,或通過設置安全組僅對可信地址開放。

https://about.gitlab.com/releases/2021/03/16/security-release-gitlab-13-9-4-released/#remote-code-execution-via-unsafe-user-controlled-markdown-rendering-options

         

相關焦點

  • 關於Apache Spark存在遠程代碼執行高危漏洞的預警通報
    近日,國家信息安全漏洞共享平臺(CNVD)發布Apache Spark遠程代碼執行漏洞。攻擊者利用該漏洞,可在未授權情況下遠程執行代碼。該漏洞編號:CVE-2020-9480,安全級別為「高危」。01漏洞情況Apache Spark 是專為大規模數據處理而設計的快速通用計算引擎,是一種與Hadoop 相似的開源集群計算環境,在Scala 語言中實現,並將Scala作為其應用程式框架。它啟用了內存分布數據集,可提供交互式查詢、優化迭代工作負載。
  • 關於Microsoft Exchange存在遠程代碼執行 高危漏洞的預警通報
    近日,微軟發布Microsoft Exchange 遠程代碼執行漏洞,經過身份認證的攻擊者可利用此漏洞以SYSTEM用戶權限在目標系統上執行任意代碼。該漏洞編號:CVE-2020-17144,安全級別為「高危」。
  • 業內分析:國內用戶應警惕SMB遠程代碼執行漏洞
    新華社北京3月13日電(記者陽娜)針對北京時間12日晚微軟披露的最新的SMB遠程代碼執行漏洞(CVE-2020-0796),騰訊安全網絡資產風險檢測系統13日提供了分析數據,其顯示,目前全球範圍可能存在漏洞的SMB伺服器總量約10萬臺,直接暴露在公網,可能成為漏洞攻擊的首輪目標。
  • 高清還原漏洞——被微軟發布又秒刪的遠程預執行代碼漏洞CVE-2020...
    ◆2020年3月10日是微軟補丁日,安全社區注意到Microsoft發布並立即刪除了有關CVE-2020-0796的信息;  ◆2020年3月11日早上,Microsoft發布了可糾正SMBv3協議如何處理特製請求的修補程序;  ◆2020年03月12日微軟發布安全公告聲稱Microsoft 伺服器消息塊 3.1.1 (SMBv3) 協議處理某些請求的方式中存在遠程執行代碼漏洞
  • 【乾貨 | 附exp、代碼分析和漏洞修補】web類漏洞總結
    在管理後臺部署 war 後門文件遠程代碼執行漏洞參考:https:http:http:http:是一個運行EJB的J2EE應用伺服器。它是開放原始碼的項目,遵循最新的J2EE規範。從JBoss項目開始至今,它已經從一個EJB容器發展成為一個基於的 J2EE 的一個Web 作業系統(operating system for web),它體現了 J2EE 規範中最新的技術。
  • 雲安全日報201203:Ubuntu系統內核發現拒絕服務或執行任意代碼漏洞...
    它是一個開放原始碼的自由軟體,提供了一個健壯、功能豐富的計算環境,既適合家庭使用又適用於商業環境。Ubuntu為全球數百個公司提供商業支持。12月2日,Ubuntu發布了安全更新,修復了系統內核拒絕服務、執行任意代碼等重要漏洞。
  • 電子病歷OpenClinic存在漏洞被破解
    電子病歷OpenClinic存在漏洞被破解 某開源的病歷管理平臺存在四個安全漏洞,從而允許遠程代碼執行、竊取患者數據等操作。在共享的電子病歷OpenClinic應用程式中發現了四個漏洞。其中人們最關注的是,一個允許遠程的未經認證的攻擊者從應用程式中讀取患者的個人健康信息(PHI)的漏洞。
  • ShellShock漏洞影響廣泛 企業如何防範?
    此次曝出的ShellShock漏洞存在於Unix用戶、Linux用戶和系統管理員常常使用的GNU Bourne Again Shell(Bash)中,是一個允許遠程執行代碼的嚴重安全漏洞,其範圍涵蓋了絕大部分的Unix類作業系統,如Linux、BSD、MAC OS X等等。
  • 微軟被曝高危漏洞「永恆之黑」,或波及全球10萬伺服器
    題圖來源@unsplash鈦媒體快訊 | 3月13日消息:北京時間3月12日晚,微軟發布安全公告披露了一個最新的SMB遠程代碼執行漏洞(CVE-2020-0796),海外安全機構為該漏洞起了多個代號,如SMBGhost、EternalDarkness(「永恆之黑」)。
  • 縮放漏洞使黑客能夠鎖定Windows7PC
    安全研究人員在Zoom中發現了一個新的漏洞,該漏洞可以用來入侵運行視頻會議軟體的Windows 7計算機。斯洛維尼亞公司Arcos Security稱,該缺陷可以為遠程執行代碼鋪平道路,使攻擊者能夠將惡意軟體下載並安裝到受害者的Windows 7 PC上。周四,該公司從一位不願透露姓名的安全研究人員的提示中披露了以前未知的漏洞。Arcos Security保留了該漏洞的詳細信息,以防止惡意黑客利用該漏洞。但是,該公司表示,該漏洞會影響Windows的Zoom客戶端。
  • 亞馬遜Alexa被爆多個漏洞
    這樣能夠在Amazon 子域名進行代碼注入的攻擊者就可以在其他Amazon 子域名上執行跨域攻擊。 請求: 響應: 研究人員用CSRF token來以受害者名義執行操作,比如遠程安裝和啟用新的功能(應用)。
  • GitLab 13.7,增加MR審閱者,部署失敗時自動回滾等功能
    它促進了Fork協作,支持將其與相關問題直接關聯,提供一個中心位置,通過commit進行交流,代碼更改建議,執行代碼審查等。在新版本中,Gitlab添加了合併請求審閱者,功能通過使審閱更加容易和更有條理來改善代碼審閱過程,新功能可以快速找出合併請求中涉及的人員,或請求進行正式審查向他們發送通知。
  • AMNESIA:33 有一組嚴重的TCP / IP漏洞影響數百萬個IoT設備
    AMNESIA:33是一組33個漏洞,影響四個開源TCP / IP堆棧(uIP、FNET、picoTCP和Nut / Net),這些堆棧共同構成了全球數百萬個連接設備的基礎組件。主要導致內存損壞,可以破壞設備、執行惡意代碼、執行拒絕服務攻擊並竊取敏感信息等。
  • CVE-2020-14882&14883weblogic未授權命令執行漏洞復現
    概述10 月 21 日,Oracle 官方發布數百個組件的高危漏洞公告。其中組合利用 CVE-2020-14882/CVE-2020-14883 可使未經授權的攻擊者繞過 WebLogic 後臺登錄等限制,最終遠程執行代碼接管 WebLogic 伺服器,利用難度極低,風險極大。
  • Linux 5.9.1以及部分舊版穩定內核已解決 "Bleeding Tooth"漏洞問題
    Linux 5.9正式發布剛過去一周,修正版本的內核5.9.1就已經跟隨而來,讓這個穩定版本更值得關注的是包括了本周被Google與英特爾的安全人員公開及警告的"Bleeding Tooth"藍牙漏洞的修復。BleedingTooth是一個影響Linux的遠程代碼執行漏洞,源於L2CAP代碼中基於堆的類型混亂。
  • 微軟Win10爆出史詩級漏洞 危險程度堪比永恆之藍
    之前有報導稱微軟Windows 10(簡稱Win10)系統漏洞數量少於Linux、Mac OS等系統,結果這兩天Win10就爆出了一個史詩級漏洞,危險程度堪比前幾年肆虐全球的永恆之藍。這個漏洞編號CVE-2020-0796,與微軟Server Message Block 3.1.1 (SMBv3)協議有關,在處理壓縮消息時,如果其中的數據沒有經過安全檢查,直接使用會引發內存破壞漏洞,可能被攻擊者利用遠程執行任意代碼。
  • 繼永恆之藍後,微軟曝高危漏洞永恆之黑,Win10系統受影響
    該漏洞存在於一種區域網文件共享傳輸協議——SMB(Server Message Block)協議中。攻擊者可以利用這一漏洞連接啟用了SMB服務的遠程系統,並以系統最高權限運行惡意代碼,從而控制目標系統。值得注意的是,2017年春夏導致WannaCry和NotPetya勒索軟體在全球蔓延的,正是SMB協議。
  • 微軟將於今日發布緊急補丁 修復IE高危漏洞
    首頁 > 動態 > 關鍵詞 > 微軟最新資訊 > 正文 微軟將於今日發布緊急補丁 修復IE高危漏洞
  • 雲安全日報200810:Apache發現重要漏洞,需要儘快升級
    不過Apache於8月7日發布了安全公告,Apache存在多個漏洞.以下是漏洞詳情:漏洞詳情來源:https://httpd.apache.org/security/vulnerabilities_24.html1.mod_proxy_uwsgi緩衝區溢出 (CVE-2020-11984)mod_proxy
  • 思科SD-WAN軟體root漏洞曝光 美國特百惠網站遭黑客攻擊
    2.Mirai惡意軟體利用漏洞攻擊服務設備據外媒報導,研究人員近日披露,Mirai惡意軟體新變種利用Zyxel NAS固件版本5.21中的漏洞將設備捆綁到物聯網殭屍網絡中。據悉,黑客利用惡意代碼Magecart腳本創建iframe,彈出顯示克隆VISA CyberSource付款形式付款碼的頁面,當用戶輸入數據獲取用戶姓名、帳單地址、電話號碼、信用卡號、信用卡CVV代碼等信息。截至目前,特百惠尚未對此事件作出詳細說明。