GitLab がブランチの重大な脆弱性を明らかにした 15.1, 15.2, と 15.3 そのコミュニティ エディションとエンタープライズ エディションの. 脆弱性, CVE-2022-2884 として特定され、評価されています 9.9 CVSSスケールで, 攻撃者が Github Import を介してリモート コマンドを実行できる可能性がある.
CVE-2022-2884 の影響を受ける Gitlab のバージョン
から始まるすべてのバージョン 15.3 15.3.1 より前は影響を受けます, Gitlabは言った. この脆弱性により、認証されたユーザーは次のことを行うことができます リモートコード実行 Import from GitHub API エンドポイントを利用する. 「これは重大な重大度の問題です (AV:該当なし:L / PR:L/UI:N / S:C/C:こんにちは:H/A:H, 9.9)," 会社 追加した.
CVE-2022-2884 の脆弱性は、GitLab の HackerOne バグ報奨金プログラムを通じて、yvvdwf として知られる研究者によって報告されています。.
CVE-2022-2884 に対する回避策が利用可能
同社は、インストールをすぐにアップグレードできないユーザーのために、脆弱性に対する回避策も提供しています。.
初め, 管理者としてログインし、次の手順に従って、GitHub インポートを無効にする必要があります:
- クリック “メニュー” ->> “管理者”.
- クリック “設定” ->> “全般的”.
- 拡大する “可視性とアクセス制御” タブ.
- 下 “ソースのインポート” を無効にする “GitHub” オプション.
- クリック “変更内容を保存”.
それで, 次の手順を実行して、回避策を確認する必要があります。:
- ブラウザ ウィンドウ内, 任意のユーザーとしてログイン.
- クリック “+” トップバーに.
- クリック “新しいプロジェクト/リポジトリ”.
- クリック “プロジェクトのインポート”.
- それを確認する “GitHub” インポート オプションとして表示されない.
六月に, GitLab が修正されました 別の非常に重大な脆弱性 アカウントの乗っ取りにつながる可能性がある.
CVE-2022-1680として追跡され、評価された 9.9 から 10 CVSSスケールで, この欠陥は、GitLab Enterprise Edition のすべてのバージョンに影響を与えました。 11.10 前 14.9.5, から始まるすべてのバージョン 14.10 前 14.10.4, から始まるすべてのバージョン 15.0 前 15.0.1. この問題は、チームのメンバーによって内部的に発見されました.
ミレーナ・ディミトロワ
プロジェクトの開始以来SensorsTechForumに所属しているインスピレーションを得たライター兼コンテンツマネージャー. の専門家 10+ 魅力的なコンテンツの作成における長年の経験. ユーザーのプライバシーとマルウェア開発に焦点を当てています, 彼女はサイバーセキュリティが中心的な役割を果たす世界を強く信じています. 常識が意味をなさない場合, 彼女はメモを取るためにそこにいます. それらのメモは後で記事になる可能性があります! Milena@Milenyimをフォローする
フォローしてください: