GitLab的Critical RCE bug已修补,请尽快更新!(CVE-2022-2884) - 深圳市网安在线科技有限公司官网

      网安在线

        GitLab的Critical RCE bug已修补,请尽快更新!(CVE-2022-2884)

        2022/8/25 9:31:39 人评论

        GitLabCritical RCE bug已修补,请尽快更新!(CVE-2022-2884

         

        GitLab已经修复了一个影响社区和DevOps平台企业版的远程代码执行漏洞(CVE-2022-2884),并敦促管理员立即升级其GitLabs实例。

        CVE-2022-2884

        该漏洞是顺利获得该公司的bug bounty计划报告的,没有提到它被攻击者利用。

         

        关于CVE-2022-2884

        该公司解释说,CVE-2022-2884是一个严重性问题,可能允许经过身份验证的用户顺利获得从GitHub API端点导入实现远程代码执行。

        它影响所有GitLab CE/EE版本:

        11.3.4开始,在15.1.5之前

        15.2开始,在15.2.3之前

        15.3开始,在15.3.1之前

        由于已知攻击者的目标是未修补的(本地)GitLab服务器,该公司“强烈建议”尽快将运行易受攻击版本的所有安装升级到最新版本。

        如果现在无法升级,可以实施一种权宜之计:管理员可以在其GitLab安装中禁用GitHub导入(菜单->管理->设置->常规->可见性和访问控制->导入源->禁用“GitHu”选项->保存更改)。此操作将缓解此问题,但也会阻止用户从GitHub导入项目或存储库。

        GitLab确保GitLab.com已经在运行修补版本,具体详情请管理员尽快参考一篇指南,best practices for securing GitLab instances


        ×