Gitblit身份验证绕过漏洞(CVE-2024-28080)
内容提要
绿盟科技CERT监测到Gitblit发布安全公告,修复身份验证绕过漏洞(CVE-2024-28080),该漏洞允许未经身份验证的攻击者利用公钥绕过SSH登录。受影响版本为Gitblit <= 1.9.3,建议用户尽快升级至1.10.0以上版本。
关键要点
-
绿盟科技CERT监测到Gitblit发布安全公告,修复身份验证绕过漏洞(CVE-2024-28080)。
-
该漏洞允许未经身份验证的攻击者利用公钥绕过SSH登录,受影响版本为Gitblit <= 1.9.3。
-
建议用户尽快升级至1.10.0以上版本以防护该漏洞。
-
Gitblit是一个开源的纯Java技术栈,用于管理和服务Git仓库,主要面向中小型工作组。
-
绿盟科技外部攻击面管理服务(EASM)支持CVE-2024-28080漏洞风险的互联网资产排查。
-
绿盟科技自动化渗透测试工具(EZ)支持Gitblit的指纹识别排查,用户可使用web模块进行扫描检测。
-
官方已发布新版本修复此漏洞,受影响用户应尽快升级。
-
本安全公告不提供任何保证,使用者需自行承担因使用信息造成的后果。
延伸解读
漏洞影响与风险评估
CVE-2024-28080漏洞的CVSS评分为9.2,表明其严重性极高。攻击者可以通过公钥绕过SSH身份验证,可能导致敏感数据泄露或系统被完全控制。受影响的用户应优先评估自身系统的安全性,及时采取措施以防止潜在的攻击。
升级的重要性
Gitblit官方已发布1.10.0及以上版本以修复此漏洞。用户应尽快升级,以确保系统安全。未及时更新可能使系统暴露于攻击风险中,尤其是在使用Gitblit进行敏感项目管理的情况下,升级显得尤为重要。
工具与服务支持
绿盟科技提供的外部攻击面管理服务(EASM)和自动化渗透测试工具(EZ)可帮助用户识别和修复此漏洞。用户可以利用这些工具进行全面的安全检查,确保系统不再受到此漏洞的威胁。
延伸问答
CVE-2024-28080漏洞的主要风险是什么?
该漏洞允许未经身份验证的攻击者利用公钥绕过SSH登录,导致系统身份验证被绕过。
受影响的Gitblit版本有哪些?
受影响的版本为Gitblit <= 1.9.3。
如何防护CVE-2024-28080漏洞?
建议用户尽快升级至Gitblit 1.10.0以上版本以防护该漏洞。
Gitblit是什么?
Gitblit是一个开源的纯Java技术栈,用于管理和服务Git仓库,主要面向中小型工作组。
绿盟科技提供了哪些工具来检测此漏洞?
绿盟科技的自动化渗透测试工具(EZ)支持Gitblit的指纹识别排查,用户可使用web模块进行扫描检测。
CVE-2024-28080漏洞的CVSS评分是多少?
该漏洞的CVSS评分为9.2。
