漏洞概述
漏洞编号:CVE-2022-2884
漏洞威胁等级:高危
漏洞详情
GitLab是一个用于仓库管理系统的开源项目,其使用Git作为代码管理工具,可通过Web界面访问公开或私人项目。
8月22日,GitLab发布安全公告,修复了GitLab社区版(CE)和企业版(EE)中的一个远程代码执行漏洞(CVE-2022-2884),该漏洞的CVSS评分为9.9,这个安全漏洞是一个可通过GitHub导入API触发经过身份验证的远程代码执行的案例。成功利用该严重漏洞会让恶意行为者在目标机器上运行恶意代码,植入恶意软件和后门,并完全控制易受攻击的设备。
影响范围
- 11.3.4 <= GitLab CE/EE < 15.1.5
- 15.2 <= GitLab CE/EE < 15.2.3
- 15.3 <= GitLab CE/EE < 15.3.1
修复建议
临时修复
通过暂时禁用GitHub导入选项来防范这个漏洞。
点击 “Menu”->“Admin”
点击“Settings”->“General”
展开“Visibility and access controls”标签
在“Import sources”下,禁用“GitHub”选项
点击“Save changes”。
最佳实践
可升级到GitLab 15.3.1、15.2.3、15.1.5或更高版本。
下载链接:https://about.gitlab.com/update/
