GitLab的Critical RCE bug已修补,请尽快更新!(CVE-2022-2884) - 深圳市网安在线科技有限公司官网

    • 网安在线

      GitLab的Critical RCE bug已修补,请尽快更新!(CVE-2022-2884)

      2022/8/25 9:31:39 人评论

      GitLabCritical RCE bug已修补,请尽快更新!(CVE-2022-2884

       

      GitLab已经修复了一个影响社区和DevOps平台企业版的远程代码执行漏洞(CVE-2022-2884),并敦促管理员立即升级其GitLabs实例。

      CVE-2022-2884

      该漏洞是顺利获得该公司的bug bounty计划报告的,没有提到它被攻击者利用。

       

      关于CVE-2022-2884

      该公司解释说,CVE-2022-2884是一个严重性问题,可能允许经过身份验证的用户顺利获得从GitHub API端点导入实现远程代码执行。

      它影响所有GitLab CE/EE版本:

      11.3.4开始,在15.1.5之前

      15.2开始,在15.2.3之前

      15.3开始,在15.3.1之前

      由于已知攻击者的目标是未修补的(本地)GitLab服务器,该公司“强烈建议”尽快将运行易受攻击版本的所有安装升级到最新版本。

      如果现在无法升级,可以实施一种权宜之计:管理员可以在其GitLab安装中禁用GitHub导入(菜单->管理->设置->常规->可见性和访问控制->导入源->禁用“GitHu”选项->保存更改)。此操作将缓解此问题,但也会阻止用户从GitHub导入项目或存储库。

      GitLab确保GitLab.com已经在运行修补版本,具体详情请管理员尽快参考一篇指南,best practices for securing GitLab instances


      ×