【漏洞通告】Gitlab多个高危漏洞

GitLab是一个用于仓库管理系统的开源项目，使用Git作为代码管理工具，并在此基础上搭建起来的Web服务，具有wiki以及在线编辑、issue跟踪功能、CI/CD等功能。

2021年4月17日，深信服安全团队监测到Gitlab官方发布了一则漏洞安全通告，通告中公布了2个高危漏洞。

1. Gitlab 代码执行漏洞。

漏洞危害：高危。攻击者可以上传特制的图像文件触发远程代码执行。
2. Ruby REXML gem XML往返漏洞

漏洞危害：高危。在解析和序列化制作的XML文档时，REXML gem（包括与Ruby捆绑在一起的文件）会创建错误的XML文档，这个漏洞的严重性取决于执行环境。

GitLab是一个基于Git实现的在线代码仓库软件，可以用GitLab搭建一个类似于GitHub一样的仓库，但是GitLab有完善的管理界面和权限控制，一般用于在企业、学校等内部网络搭建Git私服，可能受漏洞影响的资产广泛分布于世界各地，中国大陆省份中受影响资产分布于浙江、广东、山东、北京、上海等省市，

目前受影响的Gitlab版本：

Gitlab CE/EE

Gitlab CE/EE

Gitlab CE/EE

在终端中使用如下命令检测当前GitLab版本

cat /opt/gitlab/embedded/service/gitlab-rails/VERSION

当前官方已发布最新版本，建议受影响的用户及时更新升级到最新版本。链接如下：
https://about.gitlab.com/releases/2021/04/14/security-release-gitlab-13-10-3-released/