OSCS(开源软件供应链安全社区)致力于让每一个开源项目变的更安全,也帮助每一个开发者更安全的使用开源代码。
漏洞概述
2022年7月1日,OSCS 监测到 GitLab 曝出远程代码执行漏洞。该漏洞等级较为严重,CVE编号为 CVE-2022-2185。
GitLab 中授权用户可以导入恶意制作的项目导致远程代码执行,攻击者可利用该漏洞执行任意远程代码,OSCS 建议各位开发者关注漏洞风险。
GitLab 是美国 GitLab 公司的一款使用 Ruby on Rails 开发的、自托管的、Git(版本控制系统)项目仓库应用程序,开发者可通过 Web 界面访问公开或私人项目。
漏洞评级:严重
影响项目:GitLab
影响广度:广
影响版本:
| 组件 | 影响版本 | 安全版本 |
| GitLab CE/EE 14.0版本 | < 14.10.5 | 14.10.5 |
| GitLab CE/EE 15.0版本 | < 15.0.4 | 15.0.4 |
| GitLab CE/EE 15.1版本 | < 15.1.1 | 15.1.1 |
排查方式:获取 GitLab 版本,判断其版本在 [14.0, 14.10.5)、[15.0, 15.0.4)、[15.1, 15.1.1)范围中
更多漏洞详细信息可进入 OSCS 社区查看:
https://www.oscs1024.com/hd/MPS-2022-19679/
处置建议
根据影响版本中的信息,排查并升级到安全版本。
参考链接
https://www.oscs1024.com/hd/MPS-2022-19679/
https://about.gitlab.com/releases/2022/06/30/critical-security-release-gitlab-15-1-1-released/
了解更多
1、免费使用 OSCS 的情报订阅服务
OSCS (开源软件供应链安全社区)会第一时间发布开源项目最新的安全风险动态,包括开源组件安全漏洞、事件等信息,社区用户可通过企微、钉钉、飞书机器人等方式订阅情报信息,具体订阅方式详见:
https://www.oscs1024.com/docs/vuln-warning/intro/
2、使用墨菲安全的 IDE 插件帮您快速检测代码安全
在 Jetbrains IDE 插件市场搜索 “murphysec” 安装检测插件,一键检测一键修复
3、其他
社区官网:
相关文档:
开源项目:
