GitLab存在嚴重漏洞，允許透過Github匯入實現遠端命令執行

本週一，GitLab釋出了其社群版（CE）和企業版（EE）的15.3.1、15.2.3、15.1.5版本，其中包含重要的安全修復程式。在公告中，GitLab強烈建議使用者立即將其GitLab升級到這些版本之一，因GitLab CE/EE中存在一個高危漏洞。

GitLab是一個使用Git作為程式碼管理工具，並在此基礎上搭建起來的Web服務，是目前被廣泛使用的開原始碼管理平臺，適用於需要遠端管理其程式碼的開發團隊。GitLab擁有大約3000萬註冊使用者和100萬付費使用者。

根據GitLab官方公告，該漏洞（CVE-2022-2884）允許經過身份驗證的使用者透過從 GitHub API 端點匯入來實現遠端程式碼執行，是一個極為嚴重的問題（CVSS v3評分9.9）。該漏洞影響從11.3.4到15.1.5的所有版本、從15.2到15.2.3的所有版本，以及從15.3到15.3.1的所有版本。

遠端程式碼執行是一種十分危險的漏洞型別，利用此漏洞，攻擊者能夠在目標計算機上執行惡意程式碼、注入惡意軟體和後門，以控制伺服器、竊取或刪除原始碼、執行惡意提交等。

通常，這種漏洞會在官方透過釋出安全更新披露的幾天後被大量利用。因此，GitLab強烈建議使用者儘快進行安全更新。

如果出於各種原因無法立即更新，GitLab建議使用者暫時先採用下面的緩解措施保護自身免受此漏洞的影響：

禁用 GitHub 匯入

使用管理員帳戶登入到GitLab並執行以下操作：

1、單擊“選單” - >“管理員”。

2、單擊“設定” - >“常規”。

3、展開“可見性和訪問控制”選項卡。

4、在“匯入源”下，禁用“GitHub”選項。

5、點選“儲存更改”。

驗證已正確實施緩解措施：

1、在瀏覽器視窗中，以任何使用者身份登入。

2、單擊頂部欄上的“+”。

3、單擊“新建專案/儲存庫”。

4、點選“匯入專案”。

5、驗證“GitHub”是否未顯示為匯入選項。

編輯：左右裡

資訊來源：GitLab

轉載請註明出處和本文連結

每日漲知識

跳板攻擊

跳板攻擊是目前駭客進行網路攻擊的普遍形式。目前的各類攻擊，無論其攻擊原理如何，採用何種攻擊手法，其攻擊過程大多要結合跳板技術，進行攻擊源的隱藏。

﹀

﹀

﹀