当前位置: 首页 > 服务与支持 > 产品升级公告 > 安全漏洞公告

服务与支持Support

GitLab \'SSH key upload\'功能远程代码执行漏洞(CVE-2013-4490)

     发表日期:2014-12-05 11:01:22

GitLab \'SSH key upload\'功能远程代码执行漏洞(CVE-2013-4490)

BugTraq-ID:63513

CVE-ID:CVE-2013-4490

发布日期:2013-11-04

更新日期:2013-11-04

受影响系统:

GitLab GitLab 6.2

GitLab GitLab 6.1

GitLab GitLab 6.0

GitLab GitLab 5.4

GitLab GitLab 5.3

GitLab GitLab 5.2

GitLab GitLab 5.1

GitLab GitLab 5.0

详细信息:

GitLab,是一个利用Ruby on Rails 开发的开源应用程序,实现一个自托管的Git项目仓库,可通过Web界面进行访问公开的或者私人项目。 GitLab 5.0, 5.1, 5.2, 5.3, 5.4, 6.0, 6.1, 6.2版本中,gitlab-shell 1.7.3之前版本的SSH密钥上传功能存在远程代码执行漏洞,远程攻击者可通过公钥内的shell元字符,利用此漏洞执行任意命令。

来源:

Nigel Kukard

解决办法:

厂商补丁:

GitLab

------

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

https://www.gitlab.com/2013/11/04/gitlab-ce-6-2-and-5-4-security-release/

https://www.gitlab.com/