當前位置: 首頁 新聞動态

    GitLab的(de)Critical RCE bug已修補,請盡快更新!(CVE-2022-2884)

    2022/8/25 9:31:39 人(rén)評論

    GitLab的(de)Critical RCE bug已修補,請盡快更新!(CVE-2022-2884

     

    GitLab已經修複了一個(gè)影響社區(qū)和(hé)DevOps平台企業(yè)版的(de)遠(yuǎn)程代碼執行漏洞(CVE-2022-2884),并敦促管理(lǐ)員(yuán)立即升級其GitLabs實例。

    CVE-2022-2884

    該漏洞是通(tōng)過該公司的(de)bug bounty計(jì)劃報告的(de),沒有(yǒu)提到它被攻擊者利用。

     

    關于CVE-2022-2884

    該公司解釋說(shuō),CVE-2022-2884是一個(gè)嚴重性問(wèn)題,可能允許經過身(shēn)份驗證的(de)用戶通(tōng)過從(cóng)GitHub API端點導入實現(xiàn)遠(yuǎn)程代碼執行。

    它影響所有(yǒu)GitLab CE/EE版本:

    從(cóng)11.3.4開(kāi)始,在15.1.5之前

    從(cóng)15.2開(kāi)始,在15.2.3之前

    從(cóng)15.3開(kāi)始,在15.3.1之前

    由于已知攻擊者的(de)目标是未修補的(de)(本地(dì))GitLab服務器(qì),該公司“強烈建議(yì)”盡快将運行易受攻擊版本的(de)所有(yǒu)安裝升級到最新版本。

    如果目前無法升級,可以實施一種權宜之計(jì):管理(lǐ)員(yuán)可以在其GitLab安裝中禁用GitHub導入(菜單->管理(lǐ)->設置->常規->可見性和(hé)訪問(wèn)控制->導入源->禁用“GitHu”選項->保存更改)。此操作(zuò)将緩解此問(wèn)題,但(dàn)也會阻止用戶從(cóng)GitHub導入項目或存儲庫。

    GitLab确保GitLab.com已經在運行修補版本,具體(tǐ)詳情請管理(lǐ)員(yuán)盡快參考一篇指南,best practices for securing GitLab instances


    返回列表

    相(xiàng)關新聞

    ×