中危 GitLab权限泄露漏洞
CVE编号
CVE-2017-0882利用情况
暂无补丁情况
官方补丁披露时间
2017-03-28漏洞描述
GitLab是一个使用Ruby on Rails开发的开源应用程序,实现了一个Git仓库管理平台,可通过Web界面进行访问公开的或者私有的项目。 GitLab存在权限泄露漏洞,当修改任务的分配者信息的时候,API将返回该用户的个人信息详情,其中包括了该用户的authentication_token、encrypted_otp_secret、otp_backup_codes等敏感信息。攻击者可利用这些敏感信息使用该用户的身份和权限操作GitLab。如果用户为管理员权限,可能会造成更大的危害。解决建议
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:https://about.gitlab.com/2017/03/20/gitlab-8-dot-17-dot-4-security-release/受影响软件情况
| # | 类型 | 厂商 | 产品 | 版本 | 影响面 | ||||
| 1 | |||||||||
|---|---|---|---|---|---|---|---|---|---|
| 运行在以下环境 | |||||||||
| 应用 | gitlab | gitlab | 8.10.0 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | gitlab | gitlab | 8.10.12 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | gitlab | gitlab | 8.10.13 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | gitlab | gitlab | 8.11.0 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | gitlab | gitlab | 8.11.10 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | gitlab | gitlab | 8.11.9 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | gitlab | gitlab | 8.12.0 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | gitlab | gitlab | 8.12.7 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | gitlab | gitlab | 8.12.8 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | gitlab | gitlab | 8.13.0 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | gitlab | gitlab | 8.13.2 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | gitlab | gitlab | 8.13.3 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | gitlab | gitlab | 8.14.0 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | gitlab | gitlab | 8.14.1 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | gitlab | gitlab | 8.14.2 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | gitlab | gitlab | 8.14.3 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | gitlab | gitlab | 8.14.4 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | gitlab | gitlab | 8.14.5 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | gitlab | gitlab | 8.14.6 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | gitlab | gitlab | 8.15.0 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | gitlab | gitlab | 8.15.1 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | gitlab | gitlab | 8.15.2 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | gitlab | gitlab | 8.15.3 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | gitlab | gitlab | 8.15.4 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | gitlab | gitlab | 8.15.5 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | gitlab | gitlab | 8.15.6 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | gitlab | gitlab | 8.15.7 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | gitlab | gitlab | 8.16.0 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | gitlab | gitlab | 8.16.1 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | gitlab | gitlab | 8.16.2 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | gitlab | gitlab | 8.16.3 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | gitlab | gitlab | 8.16.4 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | gitlab | gitlab | 8.16.5 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | gitlab | gitlab | 8.16.6 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | gitlab | gitlab | 8.16.7 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | gitlab | gitlab | 8.17.0 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | gitlab | gitlab | 8.17.1 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | gitlab | gitlab | 8.17.2 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | gitlab | gitlab | 8.17.3 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | gitlab | gitlab | 8.2.0 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | gitlab | gitlab | 8.2.1 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | gitlab | gitlab | 8.2.2 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | gitlab | gitlab | 8.2.3 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | gitlab | gitlab | 8.2.4 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | gitlab | gitlab | 8.2.5 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | gitlab | gitlab | 8.3.0 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | gitlab | gitlab | 8.3.8 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | gitlab | gitlab | 8.3.9 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | gitlab | gitlab | 8.4.0 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | gitlab | gitlab | 8.4.10 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | gitlab | gitlab | 8.4.9 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | gitlab | gitlab | 8.5.0 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | gitlab | gitlab | 8.5.11 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | gitlab | gitlab | 8.5.12 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | gitlab | gitlab | 8.6.0 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | gitlab | gitlab | 8.6.7 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | gitlab | gitlab | 8.6.8 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | gitlab | gitlab | 8.7.0 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | gitlab | gitlab | 8.7.1 | - | |||||
| 运行在以下环境 | |||||||||
| 系统 | debian | DPKG | * | Up to (excluding) 8.13.11+dfsg-7 | |||||
| 运行在以下环境 | |||||||||
| 系统 | debian_sid | gitlab | * | Up to (excluding) 8.13.11+dfsg-7 | |||||
- 攻击路径 本地
- 攻击复杂度 复杂
- 权限要求 普通权限
- 影响范围 越权影响
- EXP成熟度 未验证
- 补丁情况 官方补丁
- 数据保密性 无影响
- 数据完整性 无影响
- 服务器危害 无影响
- 全网数量 N/A
| CWE-ID | 漏洞类型 |
| CWE-200 | 信息暴露 |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论