股票代码:688225
打开微信“扫一扫”,开启安(ān)全数字世界之旅
截图或長(cháng)按保存至相册,使用(yòng)微信扫一扫
9.9分(fēn)!GitLab遠(yuǎn)程命令执行漏洞安(ān)全通告
发布时间 :2022年09月01日
类型 :勒索软件
分(fēn)享:
漏洞描述
近日,亚信安(ān)全CERT监测到GitLab发布安(ān)全更新(xīn)通告,修复了GitLab中(zhōng)的多(duō)个安(ān)全漏洞,其中(zhōng)包含GitLab中(zhōng)的一个遠(yuǎn)程命令执行漏洞(CVE-2022-2992)。该漏洞允许经过身份验证的用(yòng)户通过GitHub API端点导入功能(néng)实现遠(yuǎn)程代码执行。
对此,目前厂商(shāng)已发布安(ān)全版本,鉴于该漏洞受影响面较大,亚信安(ān)全CERT建议使用(yòng)GitLab的用(yòng)户尽快采取相关措施,做好资产(chǎn)自查以及预防工(gōng)作(zuò),以免遭受黑客攻击。
GitLab是美國(guó)GitLab Inc.公(gōng)司开发的一款开源代码仓库管理(lǐ)系统。它使用(yòng)Git来作(zuò)為(wèi)代码管理(lǐ)工(gōng)具(jù),同时具(jù)备issus跟踪功能(néng),还支持本地化私有(yǒu)部署,可(kě)通过Web界面访问公(gōng)开或私人项目,极大程度上保障了代码的内部私有(yǒu)化管理(lǐ)。
漏洞编号及评分(fēn)
CVE-2022-2992
CVSS V3:AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H, 9.9 严重
修复建议
目前官方已发布安(ān)全版本以修复此安(ān)全问题,建议用(yòng)户更新(xīn)至最新(xīn)版本GitLab社區(qū)版(CE)和企业版(EE)的15.3.2、15.2.4和15.1.6以缓解潜在威胁。
更新(xīn)GitLab地址:https://about.gitlab.com/update/
更新(xīn)Gitlab Runner地址:https://docs.gitlab.com/runner/install/linux-repository.html
漏洞状态
受影响的版本
11.10 <= GitLab Community Edition <15.1.6
15.2 <= GitLab Community Edition <15.2.4
15.3 <= GitLab Community Edition <15.3.2
11.10 <= GitLab Enterprise Edition <15.1.6
15.2 <= GitLab Enterprise Edition <15.2.4
15.3 <= GitLab Enterprise Edition <15.3.2
参考链接
https://about.gitlab.com/releases/2022/08/30/critical-security-release-gitlab-15-3-2-released
分(fēn)享到微信
X