GitLab的Critical RCE bug已修补,请尽快更新(xīn)!(CVE-2022-2884)

    2022/8/25 9:31:39 人评论

    GitLabCritical RCE bug已修补,请尽快更新(xīn)!(CVE-2022-2884

     

    GitLab已经修复了一个影响社區(qū)和DevOps平台企业版的遠(yuǎn)程代码执行漏洞(CVE-2022-2884),并敦促管理(lǐ)员立即升级其GitLabs实例。

    CVE-2022-2884

    该漏洞是通过该公司的bug bounty计划报告的,没有(yǒu)提到它被攻击者利用(yòng)。

     

    关于CVE-2022-2884

    该公司解释说,CVE-2022-2884是一个严重性问题,可(kě)能(néng)允许经过身份验证的用(yòng)户通过从GitHub API端点导入实现遠(yuǎn)程代码执行。

    它影响所有(yǒu)GitLab CE/EE版本:

    11.3.4开始,在15.1.5之前

    15.2开始,在15.2.3之前

    15.3开始,在15.3.1之前

    由于已知攻击者的目标是未修补的(本地)GitLab服務(wù)器,该公司“强烈建议”尽快将运行易受攻击版本的所有(yǒu)安装升级到最新(xīn)版本。

    如果目前无法升级,可(kě)以实施一种权宜之计:管理(lǐ)员可(kě)以在其GitLab安装中禁用(yòng)GitHub导入(菜单->管理(lǐ)->设置->常规->可(kě)见性和访问控制->导入源->禁用(yòng)“GitHu”选项->保存更改)。此操作将缓解此问题,但也会阻止用(yòng)户从GitHub导入项目或存储库。

    GitLab确保GitLab.com已经在运行修补版本,具體(tǐ)详情请管理(lǐ)员尽快参考一篇指南,best practices for securing GitLab instances


    ×