GitLab onthulde een kritieke kwetsbaarheid voor branches 15.1, 15.2, en 15.3 van zijn community- en enterprise-edities. De kwetsbaarheid, geïdentificeerd als CVE-2022-2884 en beoordeeld 9.9 op de schaal CVSS, kan een bedreigingsactor in staat stellen om opdrachten op afstand uit te voeren via Github Import.
Gitlab-versies beïnvloed door CVE-2022-2884
Alle versies vanaf 15.3 vóór 15.3.1 worden beïnvloed, Gitlab zei:. De kwetsbaarheid stelt een geverifieerde gebruiker in staat om: uitvoering van externe code door gebruik te maken van het Import from GitHub API-eindpunt. "Dit is een probleem met kritieke ernst (VAN:N / AC:L / PR:L/UI:NS:C/C:HOI:H/A:H, 9.9)," het bedrijf toegevoegd.
De kwetsbaarheid CVE-2022-2884 is gemeld door een onderzoeker die bekend staat als yvvdwf via GitLab's HackerOne bug bounty-programma.
Tijdelijke oplossing tegen CVE-2022-2884 beschikbaar
Het bedrijf heeft ook tijdelijke oplossingen geboden tegen de kwetsbaarheid voor gebruikers die hun installaties niet meteen kunnen upgraden.
Eerste, je moet GitHub Import uitschakelen door in te loggen als beheerder en deze stappen te volgen:
- Klik “Menu” -> “beheerder”.
- Klik “Instellingen” -> “Algemeen”.
- Vouw de . uit “Zichtbaarheid en toegangscontrole” tab.
- Onder “Bronnen importeren” de . uitschakelen “GitHub” optie.
- Klik “Wijzigingen opslaan”.
Dan, de tijdelijke oplossing moet worden geverifieerd door de volgende instructies uit te voeren::
- In een browservenster, inloggen als elke gebruiker.
- Klik “+” op de bovenste balk.
- Klik “Nieuw project/repository”.
- Klik “Project importeren”.
- Verifieer dat “GitHub” verschijnt niet als importoptie.
In juni, GitLab gerepareerd nog een zeer kritieke kwetsbaarheid dat kan leiden tot accountovername.
Bijgehouden als CVE-2022-1680 en beoordeeld 9.9 uit 10 op de schaal CVSS, de fout trof alle versies van GitLab Enterprise Edition van 11.10 voor 14.9.5, alle versies vanaf 14.10 voor 14.10.4, en alle versies vanaf 15.0 voor 15.0.1. Het probleem is intern ontdekt door een lid van het team.