GitLab的Critical RCE bug已修補,請盡快更新(xīn)!(CVE-2022-2884)
GitLab的Critical RCE bug已修補,請盡快更新(xīn)!(CVE-2022-2884)
GitLab已經修複了一個影響社區(qū)和DevOps平台企業版的遠(yuǎn)程代碼執行漏洞(CVE-2022-2884),并敦促管理(lǐ)員立即升級其GitLabs實例。
CVE-2022-2884
該漏洞是通過該公(gōng)司的bug bounty計劃報告的,沒有(yǒu)提到它被攻擊者利用(yòng)。
關于CVE-2022-2884
該公(gōng)司解釋說,CVE-2022-2884是一個嚴重性問題,可(kě)能(néng)允許經過身份驗證的用(yòng)戶通過從GitHub API端點導入實現遠(yuǎn)程代碼執行。
它影響所有(yǒu)GitLab CE/EE版本:
從11.3.4開始,在15.1.5之前
從15.2開始,在15.2.3之前
從15.3開始,在15.3.1之前
由于已知攻擊者的目标是未修補的(本地)GitLab服務(wù)器,該公(gōng)司“強烈建議”盡快将運行易受攻擊版本的所有(yǒu)安(ān)裝(zhuāng)升級到最新(xīn)版本。
如果目前無法升級,可(kě)以實施一種權宜之計:管理(lǐ)員可(kě)以在其GitLab安(ān)裝(zhuāng)中(zhōng)禁用(yòng)GitHub導入(菜單->管理(lǐ)->設置->常規->可(kě)見性和訪問控制->導入源->禁用(yòng)“GitHu”選項->保存更改)。此操作(zuò)将緩解此問題,但也會阻止用(yòng)戶從GitHub導入項目或存儲庫。
GitLab确保GitLab.com已經在運行修補版本,具(jù)體(tǐ)詳情請管理(lǐ)員盡快參考一篇指南,best practices for securing GitLab instances。
相關新(xīn)聞
-
>數以千計的 QNAP NAS 設備被DeadBolt勒索軟件攻擊 (CVE-2022-27593)
-
>IPguard發布新(xīn)版本4.51.113.0
-
>什麽是數據工(gōng)程師?
-
>IPguard發布新(xīn)版本4.61.123.0
-
>祝賀我司續簽IPguard鑽石代理(lǐ)(最高級)
-
>IPguard發布新(xīn)版本4.54.818.0
-
>GitLab的Critical RCE bug已修補,請盡快更新(xīn)!(CVE-2022-2884)
-
>屏幕水印技(jì )術有(yǒu)哪些表現形态
-
>IPguard發布新(xīn)版本4.53.613.0
-
>修複Atlassian Bitbucket服務(wù)器和數據中(zhōng)心中(zhōng)的關鍵漏洞!(CVE-2022-36804)
