点击上方蓝字关注我们！

漏洞背景

近日，嘉诚安全监测到GitLab官方发布安全公告，披露了 GitLab CE/EE 存在ReDos漏洞，漏洞编号为：CVE-2023-3424。

GitLab 是一个开源的Git代码仓库系统，可以实现自托管的Github项目，即用于构建私有的代码托管平台和项目管理系统。系统基于Ruby on Rails开发，速度快、安全稳定。它拥有与Github类似的功能，能够浏览源代码，管理缺陷和注释。

鉴于漏洞危害较大，嘉诚安全提醒相关用户尽快更新至安全版本，避免引发漏洞相关的网络安全事件。

漏洞详情

经研判，该漏洞为高危漏洞。在GitLab CE/EE的Markdown字段中的EpicReferenceFilter存在ReDoS漏洞。未经身份认证的远程攻击者通过将精心设计的有效负载发送到preview_markdown端点，可以实现正则表达式拒绝服务。

危害影响

影响版本：

10.3<=GitLab CE<15.11.10

16.0<=GitLab CE<16.0.6

16.1<=GitLab CE<16.1

10.3<=GitLab EE<15.11.10

16.0<=GitLab EE<16.0.6

16.1<=GitLab EE<16.1

修复建议

根据影响版本中的信息，建议相关用户尽快更新至安全版本：

Gitlab CE >= 16.1.1

Gitlab CE >= 16.0.6

Gitlab CE >= 15.11.10

下载链接请参考：

https://about.gitlab.com/install/