ASA-2018-00090 – GitLab: Leitura de arquivo arbitrário na importação do projeto com o Git LFS

Publicado em por Allele Security Intelligence em Alertas

For the English version of this alert, click here.

Allele Security Alert

ASA-2018-00090

Identificador(es)

ASA-2018-00090, CVE-2018-20144

Título

Leitura de arquivo arbitrário na importação do projeto com o Git LFS

Fabricante(s)

GitLab

Produto(s)

GitLab Community Edition
GitLab Enterprise Edition

Versão(ões) afetada(s)

GitLab Community Edition e GitLab Enterprise Edition 11.0 e posterior.

Versão(ões) corrigida(s)

GitLab Community Edition (CE) e Enterprise Edition (EE) versões 11.6RC7, 11.5.4, 11.4.11 e 11.3.13

Prova de conceito

Desconhecida

Descrição

O GitLab Git LFS continha um problema de validação durante a importação do projeto, o que poderia permitir que um invasor lesse arquivos arbitrários em um servidor GitLab.

Detalhes técnicos

Desconhecido

Créditos

@nyangawa (Chaitin Tech)

Referência(s)

GitLab Critical Security Release: 11.6RC7, 11.5.4, 11.4.11, 11.3.13
https://about.gitlab.com/2018/12/13/critical-security-release-gitlab-11-dot-5-dot-4-released/

CVE-2018-20144
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-20144

CVE-2018-20144
https://nvd.nist.gov/vuln/detail/CVE-2018-20144

Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.

Última modificação: 18 de dezembro de 2018