Gitlab 中 Github import 功能存在远程代码执行漏洞

已于 2022-08-24 11:51:29 修改
阅读量2.6k 收藏
点赞数 1
文章标签: gitlab github 安全
于 2022-08-24 11:49:42 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cups107/article/details/126501687
版权
GitLab 在特定版本中存在远程代码执行漏洞,攻击者能利用GitHub API端点导入时执行恶意代码。受影响的版本包括 11.3.4 到 15.1.5、15.2 至 15.2.3 和 15.3 至 15.3.1。解决方案是升级到 15.1.5、15.2.3、15.3.1 或更高。详情及修复建议请参阅相关链接。
摘要由CSDN通过智能技术生成

漏洞描述

GitLab 是由GitLab公司开发的、基于Git的集成软件开发平台。

GitLab 的漏洞版本中存在远程代码执行漏洞,允许经过身份验证的用户通过GitHub API端点导入远程执行代码。

漏洞名称 GitLab 远程代码执行漏洞
漏洞类型 代码注入
发现时间 2022/8/23
漏洞影响广度 广
MPS编号 MPS-2022-54280
CVE编号 CVE-2022-2884
CNVD编号 -

影响范围

GitLab CE/EE@[11.3.4, 15.1.5)

GitLab CE/EE@[15.2, 15.2.3)

GitLab CE/EE@[15.3, 15.3.1)

修复方案

升级GitLab CE/EE到 15.1.5 或 15.2.3 或 15.3.1 或更高版本

参考链接

https://www.oscs1024.com/hd/MPS-2022-54280

最低0.47元/天 解锁文章
开源生态安全OSCS
关注
GitLab GitHub 导入 API 存在远程代码执行漏洞
OSCS开源安全社区
09-01 334
OSCS(开源软件供应链安全社区)通过最快、最全的方式,发布开源项目最新的安全风险动态,包括开源组件安全漏洞、事件等信息。GitLab 的受影响版本存在远程代码执行漏洞,此漏洞CVE-2022-2884 相似,允许经过身份验证的用户通过从 GitHub API 端点导入来实现远程代码执行GitLab 是由 GitLab 公司开发的、基于 Git 的集成软件开发平台。升级GitLab到15.1.6或更高版本。升级GitLab到15.2.4或更高版本。升级GitLab到15.3.2或更高版本。...
Gitlab导入GitHub仓库(GitlabGitHub仓库互相迁移)(Git外部仓库导入)
冯冯领队
01-15 7475
一、GitHub部分 1、首先在GitHub官网上注册自己的GitHub账号,要确保: 您的GithubGitlab帐户都是使用相同的公共电子邮件帐户或。 您使用GitHub图标登录到GitLab帐户,这意味着您为这两个帐户使用相同的电子邮件地址。 (好像也不用非得一样。。。自己搭建的gitlab仓库同样可以迁移GitHub 仓库,我这个例子就是自己搭建的Gitlab仓库) 2、登录Gi...
漏洞复现-GitLab任意读取文件(CVE-2023-2825)
最新发布
玄道的网安博客
08-12 421
据悉,该漏洞影响 GitLab社区版(CE)和企业版(EE)的 16.0.0 版本,其它更早的版本几乎都不受影响。该漏洞存在GitLab CE/EE版本16.0.0,当嵌套在至少五个组的公共项目存在附件时,可在未经身份验证的情况下通过uploads功能遍历读取任意文件,导致敏感信息泄露。因此,我们需要先绕过nginx,一旦通过了校验,nginx会将未经解码处理的URL传递给Workhorse。分析nginx的代码后,不难发现在处理复杂的URI时,nginx会对URL编码的部分进行解码。
import github project As Android Project In Eclipse
guchuanhang的专栏
03-16 740
做一个在Eclipse导入github项目作为Android project。Eclipse导入github项目作为Android project简单的import->Git->Projects from Git仅仅可以将代码导入到Eclipse
github导入文件操作
weixin_30460489的博客
11-21 278
建立本地仓库: 创建新仓库的指令:   git init//把这个目录变成Git可以管理的仓库   git add README.md//文件添加到仓库   git add .//不但可以跟单一文件,还可以跟通配符,更可以跟目录。一个点就把当前目录下所有未追踪的文件全部add了   git commit "first commit"//把文件提交到仓库   git r...
github查找组件的issues来查找组件使用出现的问题v1.0
miin_ying的博客
07-16 134
gitlabgithub一起使用
weixin_30666943的博客
11-08 135
还是在转我笔记上的内容, 也算备份 参考(https://segmentfault.com/a/1190000002994742) 可以对比着看, 我记得参考里面有个点没有说详细, 我把自己的流程记下来了,希望对大家有用 上一份工作要用gitlab, 折腾了好长时间才能同时用githubgitlab, 下面是我使用的详细流程, 注意如果比较在意github的小绿点的话要把github设置为glo...
GitLab修复GitHub import函数的RCE漏洞
smellycat000的专栏
10-14 457
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士摘要GitLab 存在一个漏洞,可导致攻击者对GitLab服务器发动多种攻击,包括托管在云上的GitLab.com平台。该漏洞的编号是CVE-2022-2884,CVSS评分为9.9。该漏洞安全研究员 “yvvdwf” 报告,是因为GitLabGitHub 导入数据的方式不正确造成的,可被用于在主机服务器上运行命令。01不安全的impor...
github 导入本地项目
寒砧的博客
08-02 1324
1 . 在本地项目根目录初始化 git init 2 . 提交所有代码到暂存区 git add . 3 . 提交 git commit -m"description" 4 . 关联远程仓库 git remote add origin +地址 5 . 远程仓库同步 git pull --rebase origin master 6 . 推送到github (前提是远程仓库有同名...
github import repository创建github仓库
weixin_34127717的博客
11-19 553
现在,假设我们从零开发,那么最好的方式是先创建远程库,然后,从远程库克隆。 首先,登陆GitHub,创建一个新的仓库,名字叫blog: 1.先创建一个项目仓库 2.我们勾选Initialize this repository with a README,这样GitHub会自动为我们创建一个README.md文件。创建完毕后,可以看到README.md文件: ...
github新建repositories后import已有code 随后同步更新
weixin_33805992的博客
04-04 649
github上,可以forks别人已有的项目,而且同步更新合并也很方便,但如果是自己新建的项目,而导入的是别人的代码修改后,别人的又更新了,自己想获取他的更新,怎么办呢?其实很简单。 #1 git clone 自己新建的项目到本地,例如新建了一个suda_android: git clone https://github.com/DinphyMod/suda_android.git ...
go mod模式下,import gitlab的项目
ezreal_pan的博客
05-23 1161
第一步:创建一个公用包的项目,比如,core。这里有个点需要注意,不能直接用go mod init进行初始化,否则,引用该包会报路径错误的问题。需要通过这个命令进行初始化(init后面的内容实是ssh链接去掉git@)。执行完之后,push到gitlab上。公用包创建的流程到此就完成了。接下来就是引用包需要做些一些配置。第二步:第三步:需要设置两个环境变量。GOPRIVATE。
如何将自己的项目导入到github里面
热爱我的热爱
10-09 1295
1.我们先新建立一个仓库(repository) 2.在ideal新建立一个项目 3.在这个项目的根目录里面添加.gitignore文件(可以用来防止git来查找过多的文件,例如ideal的自身xml等)   # Java ignore# *.class # Mobile Tools for Java (J2ME) .mtj.tmp/ # Package Files # *.ja...
python操作githubgithub模块)
Null的博客
10-27 1807
from github import Github import datetime # First create a Github instance: # using username and password #g = Github("$username", "$password") # or using an access token #g = Github("$token") # Github Enterprise with custom hostname g = Github(b...
GitLab
Promise Sun special column
11-18 4318
GitLab 一.GitLab简介 二.GitLab 的配置与使用……
github里的默认域_恕我直言!你对Python里的import一无所知
weixin_39901203的博客
11-09 183
写 Python 通常我们会怎样导包?可能大部分情况下都是用 import,但除了 import 你还会些什么呢?下面我们来介绍一些骚操作。1. 直接 import 人尽皆知的方法,直接导入即可importos与此类似的还有,不再细讲import...一般情况下,使用 import 语句导入模块已经够用的。但是在一些特殊场景,可能还需要其他的导入方式。下面我会一一地给你介绍。2. ...
gitlab 导入已有的版本库
ccr1001ccr1001的博客
04-24 1208
gitlab导入已有的版本库步骤: 1. 将git工程拷贝入gitlab对应的版本库,并赋予权限: sudo cp -r /home/chen /share/gitlab/git-data/repositories/ sudo chown -R git:git /share/gitlab/git-data/repositories/chen 2. 导入工程 sudo git...
正确导入github项目姿势
m00123456789的博客
04-12 889
download之后删除.gradle文件夹、.idea文件夹,build文件夹。 选择import from project 选择master文件夹即可。 step1: step2: step3:这里可能还需要修改gradle版本号,build.gradle的dependencies对应的版本号。如 step4: 点击syncProject按钮
Gitlab服务器切换来版本升级,执行漏洞修复
ShunGangHu
09-02 1866
由于GitLab13.5.5存在严重漏洞CVE-2022-2884),现在需要升级到安全版本,但是现在服务器(正在使用的,以后都称老服务器)系统是redhat6,已不支持要升级到的版本,只能新建服务器重新安装GitLab,再按从小到大的版本依次升级。 注意:高版本的Gitlab无法导入低版本备份的数据,因此需要在新服务器部署安装和老服务器一样版本的gitlab,部署好环境后开始备份和数据导入。
Git、GitLabGitHub详解:代码管理与协作平台
在实际开发过程,了解和熟练运用 Git、GitHubGitLab 能大大提高团队协作效率,尤其是在开源开发或远程协作场景。通过这些工具,开发者可以跟踪代码变更历史,解决冲突,以及轻松地与其他开发者交流和共享...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值