2022/8/25 9:31:39 人評論次

GitLab的Critical RCE bug已修補，請盡快更新?。?/span>CVE-2022-2884）

GitLab已經修復了一個影響社區和DevOps平臺企業版的遠程代碼執行漏洞（CVE-2022-2884），并敦促管理員立即升級其GitLabs實例。

CVE-2022-2884

該漏洞是通過該公司的bug bounty計劃報告的，沒有提到它被攻擊者利用。

關于CVE-2022-2884

該公司解釋說，CVE-2022-2884是一個嚴重性問題，可能允許經過身份驗證的用戶通過從GitHub API端點導入實現遠程代碼執行。

它影響所有GitLab CE/EE版本：

從11.3.4開始，在15.1.5之前

從15.2開始，在15.2.3之前

從15.3開始，在15.3.1之前

由于已知攻擊者的目標是未修補的（本地）GitLab服務器，該公司“強烈建議”盡快將運行易受攻擊版本的所有安裝升級到最新版本。

如果目前無法升級，可以實施一種權宜之計：管理員可以在其GitLab安裝中禁用GitHub導入（菜單->管理->設置->常規->可見性和訪問控制->導入源->禁用“GitHu”選項->保存更改）。此操作將緩解此問題，但也會阻止用戶從GitHub導入項目或存儲庫。

GitLab確保GitLab.com已經在運行修補版本，具體詳情請管理員盡快參考一篇指南，best practices for securing GitLab instances。

海龍科技

相關新聞