近日，国资国企安全响应中心（CASRC）监测发现开源软件GitLab官网发布了安全更新，修复了一处远程代码执行漏洞，攻击者可构造恶意请求，在Gitlab服务器上执行任意代码，控制服务器。Gitlab是一款基于Git的完全集成的软件开发平台，且具有wiki以及在线编辑、issue跟踪功能、CI/CD等功能。鉴于相关漏洞潜在危害程度较高，请各用户核查是否存在互联网部署GitLab以维护管理自身代码的情况，及时修补漏洞，消除安全隐患。

      一、影响评级

      Gitlab Markdown 远程代码执行漏洞：严重。

      二、影响版本

      Gitlab CE/EE < 13.9.4

      Gitlab CE/EE < 13.8.6

      Gitlab CE/EE < 13.7.9

      三、修复建议

      （一）升级Gitlab至安全版本。

      （二）将Gitlab服务器部署于内网，或通过设置安全组仅对可信地址开放。

     https://about.gitlab.com/releases/2021/03/16/security-release-gitlab-13-9-4-released/#remote-code-execution-via-unsafe-user-controlled-markdown-rendering-options

      (国资国企安全响应中心（CASRC）作为收集用户及自身资产相关漏洞和威胁情报的窗口，是中资网安对外发布突发安全事件处置响应的平台，旨在充分利用全社会的白帽子资源及各安全公司技术优势，以平台为纽带共同服务于国资国企网络信息安全，打造健康、可信赖的互联网安全生态。)