GitLab的Critical RCE bug已修補,請盡快更新!(CVE-2022-2884)
GitLab已經修複了一(yī)個影響社區和DevOps平台企業版的遠程代碼執行漏洞(CVE-2022-2884),并敦促管理員(yuán)立即升級其GitLabs實例。
CVE-2022-2884
該漏洞是通過該公司的bug bounty計劃報告的,沒有提到它被攻擊者利用。
關于CVE-2022-2884
該公司解釋說,CVE-2022-2884是一(yī)個嚴重性問題,可能允許經過身份驗證的用戶通過從GitHub API端點導入實現遠程代碼執行。
它影響所有GitLab CE/EE版本:
從11.3.4開(kāi)始,在15.1.5之前
從15.2開(kāi)始,在15.2.3之前
從15.3開(kāi)始,在15.3.1之前
由于已知(zhī)攻擊者的目标是未修補的(本地)GitLab服務器,該公司“強烈建議”盡快将運行易受攻擊版本的所有安裝升級到最新版本。
如果目前無法升級,可以實施一(yī)種權宜之計:管理員(yuán)可以在其GitLab安裝中(zhōng)禁用GitHub導入(菜單->管理->設置->常規->可見性和訪問控制->導入源->禁用“GitHu”選項->保存更改)。此操作将緩解此問題,但也會阻止用戶從GitHub導入項目或存儲庫。
GitLab确保GitLab.com已經在運行修補版本,具體(tǐ)詳情請管理員(yuán)盡快參考一(yī)篇指南(nán),best practices for securing GitLab instances。
上一(yī)篇:僞裝DDoS防護頁面正在散播惡意軟件!
下(xià)一(yī)篇:組織機構改變網絡安全戰略以應對有民族國家傾向的網絡攻擊