打印 上一主题 下一主题

【安全预警】关于 Gogs 和 Gitea 存在远程命令执行漏洞的通知

跳转到指定楼层
楼主
SetYun 发表于 2018-11-9 09:56:10 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
尊敬的腾讯云客户,您好:        近日,腾讯安全玄武实验室安全研究人员发现 Gogs 和 Gitea 存在远程命令执行漏洞(漏洞编号:CVE-2018-18925/CVE-2018-18926),攻击者可利用该漏洞进行远程命令执行攻击。
        为避免您的业务受影响,腾讯云安全中心建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。

【漏洞详情】
   Gogs 和 Gitea 是目前流行的自助 Git 服务,用于提供代码管理服务。
在默认安装部署的情况下,由于 Gogs 和 Gitea 对用户会话管理存在漏洞导致攻击者可以将注册普通用户提升为管理员账户权限,并执行系统命令。

【风险等级】
   高风险

【漏洞风险】
   远程命令执行

【影响版本】
   目前已知受影响版本如下:
   Gogs 目前 master 分支下的版本
   Gitea 1.5.3 之前的版本

【安全版本】
   Gogs 目前 develop 分支下的版本
   Gitea 1.5.3 版本

【修复建议】
   Gogs 用户:develop 分支中已经更新漏洞修复代码,下载并安装。下载链接:https://github.com/gogs/gogs/tree/develop
   Gitea 用户:下载并安装最新版本,下载链接:https://github.com/go-gitea/gitea/releases
【温馨提醒】建议变更前提前做好数据备份和验证评估,避免变更引起业务不可用。

【漏洞参考】
1)参考链接:https://github.com/gogs/gogs/issues/5469

2)参考链接:https://github.com/go-gitea/gitea/issues/5140

回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver|手机版|小黑屋|SetYun ( 辽ICP备16005250号

GMT+8, 2024-12-23 00:19 , Processed in 0.035769 second(s), 4 queries , File On.

Powered by Discuz! X3.3

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表