gitlab远程漏洞版本升级修复

最新推荐文章于 2024-03-27 22:47:54 发布
最新推荐文章于 2024-03-27 22:47:54 发布
阅读量1.1k 收藏
点赞数
分类专栏: 安全 运维工具 文章标签: gitlab 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41411704/article/details/121164765
版权

一【华为云远程漏洞预警通知】
一、概要

近日,华为云关注到Gitlab官方在2021年4月14日发布的安全更新公告中披露的Gitlab远程命令执行漏洞(CVE-2021-22205)在互联网上已出现在野攻击利用。由于Gitlab没有正确验证传递给解析器的图像文件,攻击者利用漏洞上传专门制作的图像文件可导致执行远程代码执行,目前漏洞POC已公开,风险较高。

GitLab 是一款基于 Git 的完全集成的软件开发平台。华为云提醒使用GitLab的用户尽快安排自检并做好安全加固。

参考链接:https://about.gitlab.com/releases/2021/04/14/security-release-gitlab-13-10-3-released/

二、威胁级别

威胁级别:【严重】

(说明:威胁级别共四级:一般、重要、严重、紧急)

三、漏洞影响范围

影响版本:

11.9 <= GitLab(CE/EE)< 13.8.8

13.9 <= GitLab(CE/EE)< 13.9.6

13.10 <= GitLab(CE/EE)< 13.10.3

安全版本:

GitLab(CE/EE) 13.8.8

GitLab(CE/EE) 13.9.6

GitLab(CE/EE) 13.10.3

四、漏洞处置

目前,官方已在新版本修复了该漏洞,请受影响的用户尽快升级到安全版本:

下载地址:https://about.gitlab.com/update/

注:修复漏洞前请将资料备份,并进行充分测试。

近日,华为云通知漏洞预警了。赶紧查看下公司自建版本的docker gitlab-ce:13.0.0-ce.0
好家伙,第二天就直接中奖了,直接恶意程序挂挖矿病毒了。
首先,还是把挖矿病毒给kll 了。然后准备gitlab版本升级。

二【版本升级准备】
当前版本:gitlab/gitlab-ce:13.0.0-ce.0
目标安全版本:gitlab/gitlab-ce:13.8.8-ce.0
2.1 查看升级版本线路,官方线路图地址:
https://docs.gitlab.com/ee/update/index.html#installation-using-docker
在这里插入图片描述
确定下自己的升级路线版本:
gitlab/gitlab-ce:13.0.0-ce.0
gitlab/gitlab-ce:13.0.14-ce.0
gitlab/gitlab-ce:13.1.11-ce.0
gitlab/gitlab-ce:13.8.8-ce.0
并提前docker pull 下
2.2 备份
首先gitlab这么重要,先备份再说。如果担心有问题,可以自己镜像服务器,在新的服务器上模拟测试,没问题了在直接升级。
备份步骤:

#进入容器
docker exec -it gitlab /bin/bash
##容器内执行备份命令
gitlab-rake gitlab:backup:create

【版本升级】
升级版本特别简单,按照gitlab升级路线上, 只需要替换启动的容器镜像即可
比如升级到13.0.14

#停用低版本的gitlab
docker stop gitlab 
docker rm -f gitlab 
#启动新版本gitlab
docker run -p 8443:443  -p 8080:80 -p 8022:22 --name gitlab -d --restart always --hostname 192.168.1.1 -v /data/gitlab/etc:/etc/gitlab -v /data/gitlab/logs:/var/log/gitlab -v /data/gitlab/data:/var/opt/gitlab -v /etc/localtime:/etc/localtime:ro --privileged=true gitlab/gitlab-ce:13.0.14-ce.0

依次版本升级即可。

opreator.ke
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
漏洞预警】Gitlab 曝出远程代码执行漏洞
murphysec的博客
07-01 1005
2022年7月1日,OSCS 监测到 Gitlab 曝出远程代码执行漏洞。该漏洞等级较为严重。GitLab 中授权用户可以导入恶意制作的项目导致远程代码执行,攻击者可利用该漏洞执行任意远程代码,OSCS 建议各位开发者关注漏洞风险。GitLab 是美国 GitLab 公司的一款使用 Ruby on Rails 开发的、自托管的、Git(版本控制系统)项目仓库应用程序,开发者可通过 Web 界面访问公开或私人项目。漏洞评级:严重影响项目:GitLab影响版本:获取 GitLab 版本,判断其版本在 [14.0
漏洞GitLab中(CVE-2023-2825)
ptsecurity的博客
06-06 2639
我们想告诉你另一个CVE-2023-2825漏洞,我们认为这是一个趋势性的漏洞。CVSS3.1: 10.0影响到GitLab社区版和企业版16.0.0产品。
GitLab 远程命令执行漏洞复现及坑点解决——CVE-2021-22205
最新发布
cfzy_2024的博客
03-27 633
GitLab 没有正确验证传递给文件解析器的图像文件,攻击者可利用该漏洞在服务端进行远程命令执行,漏洞编号CVE-2021-22205。
GitLab 严重漏洞在野被广泛利用,企业需立即自查
qq_53058639的博客
10-21 592
4.1 事件总结本次事件是通过免费社区蜜罐 HFish、OneEDR 在收集终端的进程、网络、文件等系统行为发现的,通过 OneEDR的智能关联功能,可了解到安全事件的上下文以及主机、账号、进程等信息,通过“进程链”快速掌握事件的影响范围以及事件的概括,从而精准溯源。HFish 是一款基于 Golang 开发的社区免费蜜罐,可提供多种网络服务和 Web 应用模拟。OneEDR。
linux服务器Centos7中病毒记录
on the way . . .
03-23 2696
Background 用的华为的弹性云服务器,直到这一次,之前已经出现过三四次,想到这一次也不会是最后一次,记录下,防止因为同样的问题再次中毒。 1、2022-03-23 中毒后部分系统命令不能用。有的能用的也会夹杂一些其他的错误信息。 ERROR: ld.so: object '/usr/local/lib/uncompress.so' from /etc/ld.so.preload cannot be preloaded: ignored. 中毒效果图 症状分析 由上图可以看出,加载/
记一次解决阿里云中挖矿病毒(kthreaddk)方法
imning1的博客
06-06 1648
通过top命令查看占用最高的是这个进程,杀掉之后重复操作
CentOS7下GitLab跨大版本升级的方法
09-14
主要介绍了CentOS7下GitLab跨大版本升级的方法,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
升级gitlab中nginx版本.docx
08-18
配置系统nginx,使gitlab使用系统自带的nginx,配置端口号,禁止使用自身绑定的nginx,
Windows版本gitlab
08-18
spring配置中心入门最佳搭档 PS:GitHub连接一堆问题,太烦了
Gitlab 版本控制系统使用
06-26
gitlab 版本控制系统及客户端使用。
阿里云服务器中挖矿病毒了,名称为 kinsing
qq_40215763的博客
05-06 4181
五一本来就没有过好,上班来了第一天同事就说页面打不开了 不开心的我就打开看看项目页面,不看不要紧一看还真是见鬼了 赶紧查看一下 top查看了一下 PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND 25638 root 10 -10 25518 ...
gitlab-ce-13.8.8-ce.0.el7.x86_64.rpm
05-03
版本:gitlab-ce-13.8.8-ce.0.el7.x86_64.rpm
GitLab 目录遍历漏洞复现(CVE-2023-2825)
qq_34914659的博客
05-30 1939
漏洞存在于GitLab CE/EE版本16.0.0中,当嵌套在至少五个组中的公共项目中存在附件时,可在未经身份验证的情况下通过uploads功能遍历读取任意文件,导致敏感信息泄露。GitLab是一个用于仓库管理系统的开源项目,其使用Git作为代码管理工具,可通过Web界面访问公开或私人项目。社区版(CE)和企业版(EE)的 16.0.0 版本,其它更早的版本几乎都不受影响。1.需要一个嵌套五层以上可公开访问到的group 组并添加项目。步骤四:项目添加完成,添加评论。步骤五:测试访问上传的文件。
Gitlab 未授权RCE(CVE-2021-22205)漏洞分析及排查
dayouzi的博客
08-11 704
GitLab 是由GitLab Inc.开发的一个用于仓库管理系统的开源项目,使用Git作为代码管理工具,可通过Web界面访问公开或私人项目。但漏洞版本中,GitLab 没有正确验证传递给文件解析器的图像文件,这导致远程命令执行。
记录一次挖矿病毒kthreaddk和rcu_bj,导致CPU飙高处理
Mr_chenchen的博客
03-01 2677
kthreaddk和rcu_bj进程,cpu飙高 占用一般cpu或者50-70%
GitLab任意文件读取漏洞复现(CVE-2020-10977)
m0_48520508的博客
12-30 2175
0x00简介 GitLab 是一个用于仓库管理系统的开源项目,使用Git作为代码管理工具,并在此基础上搭建起来的web服务。GitLab是由GitLabInc.开发,使用MIT许可证的基于网络的Git仓库管理工具,且具有wiki和issue跟踪功能。使用Git作为代码管理工具,并在此基础上搭建起来的web服务。 0x01漏洞概述 在Gitlab 8.5-12.9版本中,存在一处任意文件读取漏洞,攻击者可以利用该漏洞,在不需要特权的状态下,读取任意文件,造成严重信息泄露,从而导致进一步被攻击的风险。 0x02
gitlab-ce12.x升级13.x路线
longtds的博客
10-12 350
gitlab-ce12.x升级13.x路线
gitlab-ee版本安全与合规配置
Iws7的博客
06-03 1130
一、静态应用程序安全测试(SAST) 将以下内容添加到您的.gitlab-ci.yml文件中 sast: stage: sast tags: - maven script: - export SP_VERSION=$(echo "$CI_SERVER_VERSION" | sed 's/^\([0-9]*\)\.\([0-9]*\).*/\1-\2-stable/') - docker run --rm --env SAST_CONFIDENCE_LEV.
GitLab 存储型XSS漏洞 (CVE-2023-0050)
murphysec的博客
03-09 701
GitLab 是由GitLab公司开发的、基于Git的集成软件开发平台。kroki是一款集成在GitLab的基于文本的图表描述自动转为图片的开源工具,在GitLab 13.7引入。 由于Kroki中lib/banzai/filter/kroki_filter.rb对接收的image_src过滤不严,具有AsciiDoc、Markdown、reStructuredText 或 Textile 文档编辑权限的攻击者可通过恶意构造的Kroki图,当用户访问的页面对Kroki图渲染时,即可触发恶意代码,进行执行任
gitlab远程仓库回退版本
09-26
要在GitLab远程仓库回退版本,可以按照以下步骤进行操作: 1. 首先,使用命令`git log`查看提交历史,并找到要回退到的commit-id。 2. 使用命令`git revert commit-id`回滚到指定的commit-id。这将创建一个新的提交...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值