SetYun-教您优惠购买云主机！

标题: 【安全预警】关于 Gogs 和 Gitea 存在远程命令执行漏洞的通知 [打印本页]

作者: SetYun 时间: 2018-11-9 09:56
标题: 【安全预警】关于 Gogs 和 Gitea 存在远程命令执行漏洞的通知
尊敬的腾讯云客户，您好：近日，腾讯安全玄武实验室安全研究人员发现 Gogs 和 Gitea 存在远程命令执行漏洞（漏洞编号：CVE-2018-18925/CVE-2018-18926），攻击者可利用该漏洞进行远程命令执行攻击。
为避免您的业务受影响，腾讯云安全中心建议您及时开展安全自查，如在受影响范围，请您及时进行更新修复，避免被外部攻击者入侵。

【漏洞详情】
Gogs 和 Gitea 是目前流行的自助 Git 服务，用于提供代码管理服务。
在默认安装部署的情况下，由于 Gogs 和 Gitea 对用户会话管理存在漏洞导致攻击者可以将注册普通用户提升为管理员账户权限，并执行系统命令。

【风险等级】
高风险

【漏洞风险】
远程命令执行

【影响版本】
目前已知受影响版本如下：
Gogs 目前 master 分支下的版本
Gitea 1.5.3 之前的版本

【安全版本】
Gogs 目前 develop 分支下的版本
Gitea 1.5.3 版本

【修复建议】
Gogs 用户：develop 分支中已经更新漏洞修复代码，下载并安装。下载链接：https://github.com/gogs/gogs/tree/develop
Gitea 用户：下载并安装最新版本，下载链接：https://github.com/go-gitea/gitea/releases
【温馨提醒】建议变更前提前做好数据备份和验证评估，避免变更引起业务不可用。

【漏洞参考】
1）参考链接：https://github.com/gogs/gogs/issues/5469
2）参考链接：https://github.com/go-gitea/gitea/issues/5140

欢迎光临 SetYun-教您优惠购买云主机！ (http://news.setyun.cn/)