漏洞信息详情
GitLab gitlab-shell Repository Import Feature 远程代码执行漏洞
- CNNVD编号:CNNVD-201311-141
- 危害等级: 中危
- CVE编号: CVE-2013-4546
- 漏洞类型: 输入验证
- 发布时间: 2013-11-13
- 威胁类型: 远程
- 更新时间: 2014-05-14
- 厂 商: gitlab
- 漏洞来源: Remy van Elst
漏洞简介
GitLab是一套利用Ruby on Rails开发的一套开源的可实现自托管的Git(版本控制系统)项目仓库的应用程序。gitlab-shell是其中的一套用于SSH访问和存储库管理的应用程序。
GitLab中使用的gitlab-shell 1.7.4之前版本的repository import功能中存在安全漏洞。远程攻击者可通过导入URL利用该漏洞执行任意命令。
漏洞公告
目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
https://www.gitlab.com/2013/11/08/security-vulnerability-in-gitlab-shell/
参考网址
来源:www.gitlab.com
链接:https://www.gitlab.com/2013/11/08/security-vulnerability-in-gitlab-shell/
来源:gitlab.com
链接:https://gitlab.com/gitlab-org/gitlab-shell/blob/master/CHANGELOG
来源:MLIST
名称:[oss-security] 20131111 Security vulnerability in gitlab-shell (CVE-2013-4546)
链接:http://www.openwall.com/lists/oss-security/2013/11/11/2
来源: BID
名称: 63644
链接:http://www.securityfocus.com/bid/63644
受影响实体
- Gitlab Gitlab-Shell:1.7.2
- Gitlab Gitlab-Shell:1.7.3
- Gitlab Gitlab-Shell:1.7.1
- Gitlab Gitlab-Shell:1.7.0
- Gitlab Gitlab-Shell:1.6.0
补丁
- gitlab-shell-1.7.4
- gitlab-shell-1.7.4
评论