GitLab 敦促用户为其社区版和企业版的分支 15.1、15.2 和 15.3 安装安全更新,以修复可能使攻击者能够通过 Github 导入执行远程命令的关键漏洞。
GitLab 是一个基于 Web 的 Git 存储库,适用于需要远程管理其代码的开发人员团队。它拥有大约 3000 万注册用户和 100 万付费客户。
此安全更新解决的漏洞被跟踪为 CVE-2022-2884,并分配了 9.9 的 CVSS v3 关键性分数。它影响从 11.3.4 到 15.1.4 的所有版本,以及 15.2 和 15.2.3 之间的版本以及 15.3
此外,GitLab 强调部署类型(综合、源代码、舵图等)并没有什么不同,因为它们都会受到影响。
远程命令执行是一种强大的缺陷,使远程攻击者能够在目标机器上运行恶意代码、注入恶意软件和后门,或者完全控制易受攻击的端点。
使用此漏洞,威胁参与者可以控制服务器、窃取或删除源代码、执行恶意提交等。
解决该问题的最新 GitLab 版本是 15.3.1、15.2.3 和 15.1.5,建议用户立即升级到这些版本。
“我们强烈建议所有运行受下述问题影响的版本的安装尽快升级到最新版本,” GitLab 的发布公告中提到。
解决方法
如果由于某种原因无法安装安全更新,GitLab 建议应用一种解决方法,包括禁用 GitHub 导入,这是一种用于将整个软件项目从 GitHub 导入到 GitLab 的工具。
要应用解决方法,请执行以下步骤:
使用管理员帐户登录到 GitLab 安装
点击“菜单”->“管理员”
点击“设置”->“常规”
展开“可见性和访问控制”选项卡
在“导入源”下禁用“GitHub”选项
点击“保存更改”
要验证解决方法是否已正确实施,请执行以下步骤:
在浏览器窗口中,以任何用户身份登录。
单击顶部栏上的“+”。
单击“新建项目/存储库”。
单击“导入项目”。
验证“GitHub”没有作为导入选项出现
有关如何更新 GitLab 安装的说明,请查看项目的官方更新门户。
通常,强大的漏洞在通过发布安全更新被披露后几天就会进入积极利用状态。因此,强烈建议尽快应用推荐的更新或缓解措施。
