GitLab存在嚴重漏洞,允許透過Github匯入實現遠端命令執行

Editor發表於2022-08-25

本週一,GitLab釋出了其社群版(CE)和企業版(EE)的15.3.1、15.2.3、15.1.5版本,其中包含重要的安全修復程式。在公告中,GitLab強烈建議使用者立即將其GitLab升級到這些版本之一,因GitLab CE/EE中存在一個高危漏洞。

GitLab是一個使用Git作為程式碼管理工具,並在此基礎上搭建起來的Web服務,是目前被廣泛使用的開原始碼管理平臺,適用於需要遠端管理其程式碼的開發團隊。GitLab擁有大約3000萬註冊使用者和100萬付費使用者。


根據GitLab官方公告,該漏洞(CVE-2022-2884)允許經過身份驗證的使用者透過從 GitHub API 端點匯入來實現遠端程式碼執行,是一個極為嚴重的問題(CVSS v3評分9.9)。該漏洞影響從11.3.4到15.1.5的所有版本、從15.2到15.2.3的所有版本,以及從15.3到15.3.1的所有版本。


遠端程式碼執行是一種十分危險的漏洞型別,利用此漏洞,攻擊者能夠在目標計算機上執行惡意程式碼注入惡意軟體和後門,以控制伺服器、竊取或刪除原始碼、執行惡意提交等。


通常,這種漏洞會在官方透過釋出安全更新披露的幾天後被大量利用。因此,GitLab強烈建議使用者儘快進行安全更新。


如果出於各種原因無法立即更新,GitLab建議使用者暫時先採用下面的緩解措施保護自身免受此漏洞的影響:


禁用 GitHub 匯入


使用管理員帳戶登入到GitLab並執行以下操作:

1、單擊“選單” - >“管理員”。

2、單擊“設定” - >“常規”。

3、展開“可見性和訪問控制”選項卡。

4、在“匯入源”下,禁用“GitHub”選項。

5、點選“儲存更改”。


驗證已正確實施緩解措施:

1、在瀏覽器視窗中,以任何使用者身份登入。

2、單擊頂部欄上的“+”。

3、單擊“新建專案/儲存庫”。

4、點選“匯入專案”。

5、驗證“GitHub”是否未顯示為匯入選項。



編輯:左右裡

資訊來源:GitLab

轉載請註明出處和本文連結



每日漲知識

跳板攻擊

跳板攻擊是目前駭客進行網路攻擊的普遍形式。目前的各類攻擊,無論其攻擊原理如何,採用何種攻擊手法,其攻擊過程大多要結合跳板技術,進行攻擊源的隱藏。






GitLab存在嚴重漏洞,允許透過Github匯入實現遠端命令執行


相關文章