GitLab的Critical RCE bug已修補,請盡快更新!(CVE-2022-2884)
2022/8/25 9:31:39
人評論
次
GitLab的Critical RCE bug已修補,請盡快更新!(CVE-2022-2884)
GitLab已經(jīng)修復了一個影響社區(qū)和DevOps平臺企業(yè)版的遠程代碼執(zhí)行漏洞(CVE-2022-2884),并敦促管理員立即升級其GitLabs實例。
CVE-2022-2884
該漏洞是通過該公司的bug bounty計劃報告的,沒有提到它被攻擊者利用。
關于CVE-2022-2884
該公司解釋說,CVE-2022-2884是一個嚴重性問題,可能允許經(jīng)過身份驗證的用戶通過從GitHub API端點導入實現(xiàn)遠程代碼執(zhí)行。
它影響所有GitLab CE/EE版本:
從11.3.4開始,在15.1.5之前
從15.2開始,在15.2.3之前
從15.3開始,在15.3.1之前
由于已知攻擊者的目標是未修補的(本地)GitLab服務器,該公司“強烈建議”盡快將運行易受攻擊版本的所有安裝升級到最新版本。
如果目前無法升級,可以實施一種權宜之計:管理員可以在其GitLab安裝中禁用GitHub導入(菜單->管理->設置->常規(guī)->可見性和訪問控制->導入源->禁用“GitHu”選項->保存更改)。此操作將緩解此問題,但也會阻止用戶從GitHub導入項目或存儲庫。
GitLab確保GitLab.com已經(jīng)在運行修補版本,具體詳情請管理員盡快參考一篇指南,best practices for securing GitLab instances。
相關新聞
-
>數(shù)以千計的 QNAP NAS 設備被DeadBolt勒索軟件攻擊 (CVE-2022-27593)
-
>什么是數(shù)據(jù)工程師?
-
>IPguard發(fā)布新版本4.51.113.0
-
>IPguard發(fā)布新版本4.61.123.0
-
>祝賀我司續(xù)簽IPguard鉆石代理(最高級)
-
>IPguard發(fā)布新版本4.54.818.0
-
>屏幕水印技術有哪些表現(xiàn)形態(tài)
-
>GitLab的Critical RCE bug已修補,請盡快更新!(CVE-2022-2884)
-
>IPguard發(fā)布新版本4.53.613.0
-
>修復Atlassian Bitbucket服務器和數(shù)據(jù)中心中的關鍵漏洞!(CVE-2022-36804)
