GitLab hat eine kritische Schwachstelle für Branches aufgedeckt 15.1, 15.2, und 15.3 seiner Community- und Enterprise-Editionen. Die Sicherheitslücke, als CVE-2022-2884 identifiziert und bewertet 9.9 auf der Skala CVSS-, könnte es einem Angreifer ermöglichen, eine Remote-Befehlsausführung über Github Import auszuführen.
Von CVE-2022-2884 betroffene Gitlab-Versionen
Alle Versionen ab 15.3 vor 15.3.1 betroffen sind, sagte Gitlab. Die Schwachstelle ermöglicht es einem authentifizierten Benutzer zu erreichen Remotecodeausführung durch Ausnutzen des Import from GitHub API-Endpunkts. „Dies ist ein Problem mit kritischem Schweregrad (VON:N / AC:L / PR:L/UI:N / S:C/C:HALLO:HA:H, 9.9)," die Firma hinzugefügt.
Die Schwachstelle CVE-2022-2884 wurde von einem Forscher namens yvvdwf über das Bug-Bounty-Programm HackerOne von GitLab gemeldet.
Problemumgehung für CVE-2022-2884 verfügbar
Das Unternehmen hat auch Workaround-Tricks gegen die Schwachstelle für Benutzer bereitgestellt, die ihre Installationen nicht sofort aktualisieren können.
Erste, Sie müssen den GitHub-Import deaktivieren, indem Sie sich als Administrator anmelden und diesen Schritten folgen:
- Klicken “Speisekarte” -> “Admin”.
- Klicken “Einstellungen” -> “General”.
- Erweitere das “Sichtbarkeit und Zugriffskontrollen” Tab.
- Unter “Quellen importieren” deaktivieren Sie die “GitHub” Option.
- Klicken “Änderungen speichern”.
Dann, Die Problemumgehung sollte überprüft werden, indem die folgenden Anweisungen ausgeführt werden:
- In einem Browserfenster, Melden Sie sich als beliebiger Benutzer an.
- Klicken “+” auf der oberen Leiste.
- Klicken “Neues Projekt/Repository”.
- Klicken “Projekt importieren”.
- Überprüfen Sie, dass “GitHub” wird nicht als Importoption angezeigt.
Im Juni, GitLab behoben eine weitere hochkritische Schwachstelle das könnte zu einer Kontoübernahme führen.
Verfolgt als CVE-2022-1680 und bewertet 9.9 von 10 auf der Skala CVSS-, Der Fehler betraf alle Versionen der GitLab Enterprise Edition 11.10 Vor 14.9.5, alle Versionen ab 14.10 Vor 14.10.4, und alle Versionen ab 15.0 Vor 15.0.1. Das Problem wurde intern von einem Mitglied des Teams entdeckt.
Milena Dimitrova
Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim
Folge mir: