漏洞信息详情

GitLab gitlab-shell ‘SSH key upload’功能远程代码执行漏洞

• CNNVD编号：CNNVD-201311-063
• 危害等级： 中危
  
• CVE编号： CVE-2013-4490
• 漏洞类型： 输入验证
• 发布时间： 2013-11-07
• 威胁类型： 远程
• 更新时间： 2014-05-14
• 厂        商： gitlab
• 漏洞来源： Nigel Kukard of Al...

漏洞简介

GitLab是一套利用Ruby on Rails开发的一套开源的可实现自托管的Git（版本控制系统）项目仓库的应用程序。gitlab-shell是其中的一套用于SSH访问和存储库管理的应用程序。

GitLab 5.4.1之前的5.0版本和6.2.3之前的6.x版本使用的gitlab-shell 1.7.3之前版本的SSH密钥上传功能(lib/gitlab_keys.rb)中存在安全漏洞。远程攻击者可借助公钥中的shell元字符利用该漏洞执行任意命令。

漏洞公告

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

https://www.gitlab.com/2013/11/04/gitlab-ce-6-2-and-5-4-security-release/

参考网址

来源:www.gitlab.com

链接:https://www.gitlab.com/2013/11/04/gitlab-ce-6-2-and-5-4-security-release/

来源: BID

名称: 63513

链接:http://www.securityfocus.com/bid/63513

受影响实体

• Gitlab Gitlab-Shell:1.2.0  
• Gitlab Gitlab-Shell:1.1.0  
• Gitlab Gitlab-Shell:1.0.4  
• Gitlab Gitlab:5.0.0  
• Gitlab Gitlab-Shell:1.7.2  

补丁

• gitlabhq-5.4.1
• gitlabhq-5.4.1
• gitlabhq-6.2.3
• gitlabhq-6.2.3
• gitlab-shell-1.7.3