GitLab CE/EE ReDoS漏洞

• 漏洞编号：CVE-2023-2199
  
• 漏洞类型：拒绝服务
• 漏洞等级：高危
• 发布时间：2023-06-06

              

漏洞描述：

GitLab是一个用于仓库管理系统的开源项目，其使用Git作为代码管理工具，可通过Web界面访问公开或私人项目。

近日，监测到GitLab 发布安全更新，其中修复了一个DDOS漏洞，在15.10.8之前的所有12.0版本、15.11.7之前的所有15.11版本、16.0.2之前的所有16.0版本的Gitlab CE和Gitlab EE中，恶意用户可以通过向preview_markdown端点发送精心制作的有效载荷，有可能造成正则表达式拒绝服务。

 

影响版本：

12.0<=GitLab CE<15.10.8

15.11<=GitLab CE<15.11.7

16.0<=GitLab CE<16.0.2

12.0<=GitLab EE<15.10.8

15.11<=GitLab EE<15.11.7

16.0<=GitLab EE<16.0.2

 

修复建议

厂商已发布补丁修复漏洞，用户请尽快更新至安全版本：

受影响用户可以根据使用的版本升级到对应的

GitLab CE/EE 16.0.2, 

GitLab CE/EE 15.11.7, 

GitLab CE/EE 15.10.8。

与此同时，请做好资产自查以及预防工作，以免遭受黑客攻击。