GitLab的Critical RCE bug已修补,请尽快更新!(CVE-2022-2884) - 深圳市网安在线科技有限公司官网

网安在线

    GitLab的Critical RCE bug已修补,请尽快更新!(CVE-2022-2884)

    2022/8/25 9:31:39 人评论

    GitLabCritical RCE bug已修补,请尽快更新!(CVE-2022-2884

     

    GitLab已经修复了一个影响社区和DevOps平台企业版的远程代码执行漏洞(CVE-2022-2884),并敦促管理员立即升级其GitLabs实例。

    CVE-2022-2884

    该漏洞是顺利获得该公司的bug bounty计划报告的,没有提到它被攻击者利用。

     

    关于CVE-2022-2884

    该公司解释说,CVE-2022-2884是一个严重性问题,可能允许经过身份验证的用户顺利获得从GitHub API端点导入实现远程代码执行。

    它影响所有GitLab CE/EE版本:

    11.3.4开始,在15.1.5之前

    15.2开始,在15.2.3之前

    15.3开始,在15.3.1之前

    由于已知攻击者的目标是未修补的(本地)GitLab服务器,该公司“强烈建议”尽快将运行易受攻击版本的所有安装升级到最新版本。

    如果现在无法升级,可以实施一种权宜之计:管理员可以在其GitLab安装中禁用GitHub导入(菜单->管理->设置->常规->可见性和访问控制->导入源->禁用“GitHu”选项->保存更改)。此操作将缓解此问题,但也会阻止用户从GitHub导入项目或存储库。

    GitLab确保GitLab.com已经在运行修补版本,具体详情请管理员尽快参考一篇指南,best practices for securing GitLab instances


    ×