【烽火狼烟】关于Gitlab的漏洞风险提示及安全影响力评估
前言
近日,开源管理软件Gitlab在其官网发布了针对CVE-2019-19628、CVE-2019-19629以及CVE-2019-19604漏洞的版本更新,修复了由于参数处理不当、项目转移以及相关依赖项所造成的漏洞。
Gitlab是一个开源的Git代码仓库系统,可用于构建私有的代码托管平台和项目管理系统。
</section>
网络基本情况(Gitlab基本情况分布)
<section powered-by="xiumi.us">
盛邦安全网络空间搜索引擎发现全球共有29509个对公网开放的Gitlab应用,具体分布情况见下图(颜色深浅代表数量多少,颜色越深数量越多)。
</section>
在全球范围内,德国使用的Gitlab最多,有5724个对公网开放的Gitlab应用;其次是中国,有5333个对公网开放的Gitlab应用;美国排第三,有5234个对公网开放的Gitlab应用;法国有1335个对公网开放的Gitlab应用;俄罗斯有1306个对公网开放的Gitlab应用;荷兰有1113个对公网开放的Gitlab应用。
在中国境内Gitlab的使用中,北京最多,有1445个对公网开放的Gitlab应用;其次是广东,有982个对公网开放的Gitlab应用;上海排第三,有947个对公网开放的Gitlab应用;浙江有925个对公网开放的Gitlab应用;山东有250个对公网开放的Gitlab应用;香港有185个对公网开放的Gitlab应用;台湾有149个对公网开放的Gitlab应用。
事件影响及其修复
受影响版本:
GitLab EE 10.5 及更高的版本;
所有的GitLabOmnibus版本。
修复建议:
尽快升级至安全版本。
GitLab安全版本:12.5.4、12.4.6和12.3.9;
并更新Git依赖关系到2.22.2。
总结
从网络空间搜索引擎的角度去探讨关于Gitlab的漏洞对全球可能造成的影响,主要的结论如下:
现阶段全球共有29509个对公网开放的Gitlab应用;
Gitlab的相关漏洞CVE-2019-19628、CVE-2019-19629及CVE-2019-19604分别由于Maven程序包注册表参数处理不当、项目转移及Git依赖项造成。