背景:
GitLab官方發布了安全公告,修復了GitLab社群版(CE)和企業版(EE)中的一個遠端程式碼執行漏洞(CVE-2022-2884)此漏洞允許經過驗證的使用者透過從GitHub API端點匯入方式實現遠端程式碼執行,成功利用此漏洞的攻擊者可取得伺服器權限。
受影響版本:
GitLab CE/EE 15.3 版本:< 15.3.1
GitLab CE/EE 15.2 版本:< 15.2.3
GitLab CE/EE 15.1 版本:< 15.1.5
漏洞利用:
目前漏洞細節和測試程式碼暫未公開,但惡意攻擊者可以透過修補程式對比分析出漏洞觸發點,建議受影響用戶及時更新安全性修補程式。
修復建議:
官方已發布安全版本,建議升級至安全版本。
https://about.gitlab.com/update/
https://about.gitlab.com/releases/2022/08/22/critical-security-release-gitlab-15-3-1-released/
原文文章,作者:首席安全官,如若轉載,請註明出處:https://cncso.com/tw/gitlab-devops-platform-rce-vulnerability.html
