如何进行GitLab任意文件读取漏洞CVE-2020-10977的分析

# 如何进行GitLab任意文件读取漏洞CVE-2020-10977的分析

## 漏洞概述

CVE-2020-10977是GitLab社区版(CE)和企业版(EE)中的一个高危漏洞，存在于11.3及以上版本中。该漏洞允许攻击者通过精心构造的请求，绕过权限检查读取服务器上的任意文件，可能导致敏感信息泄露（如SSH密钥、配置文件等）。2020年4月被安全研究人员William Bowling（vakzz）发现并报告，CVSS评分为9.9（Critical）。

## 漏洞原理分析

### 1. 漏洞位置
漏洞源于GitLab的`/uploads`目录处理逻辑缺陷：
- GitLab允许用户上传文件到`/uploads`目录
- 通过`/uploads/<project>/<filename>`路由访问上传文件
- 但未对`<project>`参数进行严格的路径遍历检查

### 2. 技术细节
攻击者可通过路径遍历符号（`../`）跳出项目目录：
```plaintext
https://gitlab.example.com/uploads/../../etc/passwd

实际访问路径被解析为：

/var/opt/gitlab/gitlab-rails/uploads/../../etc/passwd

3. 根本原因

• 缺乏输入验证：未对用户提供的路径参数进行规范化处理
• 权限检查缺失：未验证请求是否属于合法项目范围
• Rails路由配置缺陷：/uploads路由处理过于宽松

漏洞复现步骤

环境搭建

1. 使用Vulhub的GitLab环境：

docker-compose up -d

1. 访问http://your-ip:8080初始化GitLab（版本12.8.1）

攻击演示

curl --path-as-is http://victim.com/uploads/../..%2f..%2f..%2fetc%2fpasswd

成功响应将显示系统/etc/passwd文件内容。

影响范围

• 受影响版本：
  • GitLab CE/EE 11.3及以上
  • GitLab CE/EE 12.9以下
• 最大风险：可读取任意文件包括：
  • /etc/passwd
  • GitLab配置文件（包含数据库凭证）
  • SSH私钥（/var/opt/gitlab/.ssh/id_rsa）
  • Kubernetes集群凭证

修复方案

官方补丁

GitLab发布了以下版本修复： - 12.9.1 - 12.8.8 - 12.7.8

补丁主要修改： 1. 添加路径规范化检查

path = File.realpath(path)

1. 增加权限验证逻辑

return render_404 unless uploader.exists?

临时缓解措施

1. 使用WAF拦截包含../的请求
2. 限制Nginx对/uploads的访问：

location ~ ^/uploads/ {
    deny all;
}

漏洞挖掘启示

1. 文件操作API审计要点：

   • 所有文件路径参数是否经过规范化
   • 是否进行充分的权限校验
   • 是否限制在预期目录范围内

2. 测试方法：

   • 使用../、..%2f等不同编码尝试路径遍历
   • 测试读取/proc/self/environ等敏感文件
   • 结合SSRF漏洞扩大攻击面

参考链接

1. GitLab官方公告
2. CVE详细报告
3. 漏洞PoC

通过分析此类高危漏洞，安全研究人员应重视以下实践： 1. 定期进行代码安全审计 2. 实施严格的输入验证机制 3. 遵循最小权限原则设计系统 4. 建立完善的漏洞响应流程 “`

注：本文实际约900字，如需扩展可增加以下内容： - 详细代码分析片段 - 更多变体攻击手法 - 历史相似漏洞对比 - 自动化检测方案