GitLab 敦促用户为其社区版和企业版的分支 15.1、15.2 和 15.3 安装安全更新,以修复可能让攻击者能够通过 Github 导入执行远程命令的关键漏洞。
GitLab 是一个基于 Web 的 Git 存储库,适用于需要远程管理其代码的开发人员团队。它拥有大约 3000 万注册用户和 100 万付费客户。
此安全更新解决的漏洞被跟踪为 CVE-2022-2884,并分配了 9.9 的 CVSS v3 关键性分数。
影响版本
影响所有 GitLab CE/EE 版本:
-
从 11.3.4 开始 15.1.5 之前
-
从 15.2 开始 15.2.3 之前
-
从 15.3 开始 15.3.1 之前
此外,GitLab 强调部署类型(综合、源代码、舵图等)并没有什么不同,因为它们都会受到影响。
远程命令执行是一种强大的缺陷,使远程攻击者能够在目标机器上运行恶意代码、注入恶意软件和后门,或者完全控制易受攻击的端点。
使用此漏洞,威胁参与者可以控制服务器、窃取或删除源代码、执行恶意提交等。
GitLab 发布公告表示:“我们强烈建议所有运行受下述问题影响的版本的安装尽快升级到最新版本。”
解决方法
解决该问题的最新 GitLab 版本是 15.3.1、15.2.3 和 15.1.5,建议用户立即升级到这些版本。
如果由于某些原因无法安装安全更新,GitLab 建议禁用 GitHub 导入,这是一种用于将整个软件项目从 GitHub 导入到 GitLab 的工具。
操作步骤:
使用管理员帐户登录到 GitLab 安装
点击“菜单”->“管理员”
点击“设置”->“常规”
展开“可见性和访问控制”选项卡
在“导入源”下禁用“GitHub”选项
点击“保存更改”
要验证解决方法是否已正确实施,执行以下步骤:
在浏览器窗口中,以任何用户身份登录。
单击顶部栏上的“+”。
单击“新建项目/存储库”。
单击“导入项目”。
验证“GitHub”没有作为导入选项出现
有关如何更新 GitLab 安装的说明,可参考官方信息。
通常,强大的漏洞在通过发布安全更新被披露后几天就会进入积极利用状态。因此,强烈建议尽快应用推荐的更新或缓解措施。
随着现在应用软件爆发式增长,安全漏洞将软件及用户置于网络危险之中。数据显示,90%以上的网络安全事件和软件漏洞被利用有关,在软件开发期间通过静态代码检测技术可以帮助开发人员减少30%-70%的安全漏洞,大大提高软件安全性。当前,通过提高软件自身安全性以确保网络安全,已成为继传统网络安全防护软件之后的又一有效手段。
关键词:远程执行漏洞 软件安全 代码缺陷
来源:
