遮天,耳根

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷解決方案

GitLab修復(fù)了CE、EE版本中一個(gè)遠(yuǎn)程代碼執(zhí)行漏洞

近期，Security Affairs 網(wǎng)站披露，DevOps 平臺(tái) GitLab 修復(fù)了其社區(qū)版（CE）和企業(yè)版（EE）中出現(xiàn)的一個(gè)關(guān)鍵遠(yuǎn)程代碼執(zhí)行漏洞，該漏洞被追蹤為 CVE-2022-2884（CVSS 評(píng)分 9.9）。

鄭州網(wǎng)站制作公司哪家好，找創(chuàng)新互聯(lián)公司！從網(wǎng)頁(yè)設(shè)計(jì)、網(wǎng)站建設(shè)、微信開(kāi)發(fā)、APP開(kāi)發(fā)、響應(yīng)式網(wǎng)站等網(wǎng)站項(xiàng)目制作，到程序開(kāi)發(fā)，運(yùn)營(yíng)維護(hù)。創(chuàng)新互聯(lián)公司于2013年創(chuàng)立到現(xiàn)在10年的時(shí)間，我們擁有了豐富的建站經(jīng)驗(yàn)和運(yùn)維經(jīng)驗(yàn)，來(lái)保證我們的工作的順利進(jìn)行。專注于網(wǎng)站建設(shè)就選創(chuàng)新互聯(lián)公司。

據(jù)悉，攻擊者經(jīng)過(guò)“身份驗(yàn)證”后，可以通過(guò) GitHub 導(dǎo)入 API 利用該漏洞。目前 DevOps 平臺(tái) GitLab 已經(jīng)發(fā)布了安全更新，修復(fù)了這一影響其 GitLab 社區(qū)版（CE）和企業(yè)版（EE）的關(guān)鍵遠(yuǎn)程代碼執(zhí)行漏洞。

GitLabCE/EE 多個(gè)版本受到漏洞影響

漏洞爆出不久后，GitLab 運(yùn)營(yíng)商在發(fā)布的安全公告中表示，GitLab CE/EE 中的漏洞（CVE-2022-2884）主要影響11.3.4——15.1.5之間的所有版本，此外，從 15.2 到 15.2.3 的所有版本和15.3 到 15.3.1 的所有版本也受到嚴(yán)重影響。

值得一提的是，運(yùn)營(yíng)商在公告中著重強(qiáng)調(diào)，CVE-2022-2884 漏洞允許經(jīng)過(guò)“身份認(rèn)證”的攻擊者從 GitHub 導(dǎo)入 API 端點(diǎn)實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行，因此強(qiáng)烈建議所有安裝了受漏洞影響版本的用戶盡快升級(jí)到最新版本。

漏洞是否在野被利用尚不清楚

從媒體披露的信息來(lái)看，研究人員 yvvdwf 最早發(fā)現(xiàn)了 CVE-2022-2884 漏洞，隨后通過(guò) HackerOne 漏洞賞金計(jì)劃，快速報(bào)告了該漏洞。

鑒于一些用戶無(wú)法立即升級(jí)到最新版本，GitLab 運(yùn)營(yíng)商提供了一個(gè)解決方法。建議用戶以 “管理員 ”身份認(rèn)證后，從設(shè)置菜單的 “可見(jiàn)性和訪問(wèn)控制 ”標(biāo)簽中禁用 GitHub 的導(dǎo)入功能。

最后，安全研究人員聲稱，目前尚不清楚 CVE-2022-2884 漏洞是否在野外攻擊中被積極利用。

分享名稱：GitLab修復(fù)了CE、EE版本中一個(gè)遠(yuǎn)程代碼執(zhí)行漏洞
路徑分享：http://fisionsoft.com.cn/article/cdhgseo.html

新聞中心

GitLabCE/EE 多個(gè)版本受到漏洞影響

漏洞是否在野被利用尚不清楚

其他資訊