各二级单位：

 近期GitLab官方发布安全公告，修复了存在于 GitLab Community Edition（CE）和 GitLab Enterprise Edition（EE）代码托管平台中的高风险目录遍历漏洞（CVE-2023-2825）。

 该漏洞源于路径遍历问题，当一个附件存在于至少五个组内嵌套的公共项目中时，未经认证的攻击者可以在服务器上读取任意文件。成功利用该漏洞还可能会暴露包括专有软件代码、用户凭证、令牌、文件和其他私人信息在内的敏感数据。

 漏洞名称：GitLab 目录遍历漏洞

 漏洞编号：CVE-2023-2825

 影响范围：GitLab CE 16.0.0

 GitLab EE 16.0.0

 安全版本：GitLab CE 16.0.1

 GitLab EE 16.0.1

 危害等级：高

 在安装Gitlab的机器上执行命令

 cat/opt/gitlab/embedded/service/gitlab-rails/VERSION

 即可查看当前版本。

 官方已经针对漏洞发布了版本更新，请各单位自查是否使用了受影响版本的Gitlab，尽快升级到官方最新版本并做好服务器安全访问机制，以防遭受黑客攻击，下载地址如下：

 https://about.gitlab.com/install/

 同时，建议各单位定期对信息系统开展自查，加强安全监测，及时更新系统和修补漏洞，并对重要的数据、文件进行定期备份。

 咨询服务电话：020-87114020

信息网络工程研究中心（信息化办公室）

2023年5月31日