ASA-2018-00090 – GitLab: Leitura de arquivo arbitrário na importação do projeto com o Git LFS

Publicado em por Allele Security Intelligence em Alertas

For the English version of this alert, click here.

Allele Security Alert

ASA-2018-00090

Identificador(es)

ASA-2018-00090, CVE-2018-20144

Título

Leitura de arquivo arbitrário na importação do projeto com o Git LFS

Fabricante(s)

GitLab

Produto(s)

GitLab Community Edition
GitLab Enterprise Edition

Versão(ões) afetada(s)

GitLab Community Edition e GitLab Enterprise Edition 11.0 e posterior.

Versão(ões) corrigida(s)

GitLab Community Edition (CE) e Enterprise Edition (EE) versões 11.6RC7, 11.5.4, 11.4.11 e 11.3.13

Prova de conceito

Desconhecida

Descrição

O GitLab Git LFS continha um problema de validação durante a importação do projeto, o que poderia permitir que um atacante lesse arquivos arbitrários em um servidor GitLab.

Detalhes técnicos

Desconhecido

Créditos

@nyangawa (Chaitin Tech)

Referência(s)

GitLab Critical Security Release: 11.6RC7, 11.5.4, 11.4.11, 11.3.13
https://about.gitlab.com/2018/12/13/critical-security-release-gitlab-11-dot-5-dot-4-released/

CVE-2018-20144
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-20144

CVE-2018-20144
https://nvd.nist.gov/vuln/detail/CVE-2018-20144

Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.

Última modificação: 15 fevereiro 2019

Não somos responsáveis por qualquer perda de dados, corrupção de dispositivos ou qualquer outro tipo de problema devido ao uso de qualquer informação mencionada em nossos alertas de segurança.