GitLab 通过安全更新修复帐户接管高危漏洞

最新推荐文章于 2023-05-31 18:21:59 发布
最新推荐文章于 2023-05-31 18:21:59 发布
阅读量342 收藏
点赞数
文章标签: 安全
原文链接:https://www.bleepingcomputer.com/news/security/gitlab-security-update-fixes-critical-account-take-over-flaw
版权

据Bleeping Computer网站6月3日消息,GitLab 为其社区版和企业版产品的多个版本发布了关键安全更新,以解决8个漏洞问题,其中一个为账户接管的高危漏洞。

该帐户接管漏洞被追踪为CVE-2022-1680,评分达 9.9,影响 GitLab 11.10 至 14.9.4、14.10 至 14.10.3 和 15.0版本。控制 GitLab 帐户会带来严重后果,黑客可以访问开发人员的项目并窃取源代码。

据公司公告,在具有特定配置的实例上可以利用该漏洞:

当组SAML SSO被配置时,SCIM 功能(仅适用于 Premium+ 订阅)可能允许 Premium 组的任何所有者通过其用户名和电子邮件邀请任意用户,然后通过 SCIM 将这些用户的电子邮件地址更改为攻击者控制的电子邮件地址。

因而,在没有 2FA(双因子验证) 的情况下,攻击者能接管这些帐户,还可以更改目标帐户的显示名称和用户名,但若目标帐户上存在双因子身份验证 (2FA) ,则可以减少其滥用的概率。

安全更新的其他7个漏洞包含对另外2个高严重性缺陷的修复:

一个是 Jira 集成组件中的跨站点脚本 (XSS) 问题,被跟踪为 CVE-2022-1940,评分 7.7;另一个是缺少输入验证漏洞,允许在联系人列表详细信息中注入 HTML 并启用 XSS 攻击,被跟踪为 CVE-2022-1948,评分 8.7

其余5个漏洞分别是IP白名单绕过问题、Web端授权不当、群组成员访问不当和锁绕过问题。

参考来源:


https://www.bleepingcomputer.com/news/security/gitlab-security-update-fixes-critical-account-take-over-flaw

欧拉定理公式
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
漏洞笔记--Jira 相关漏洞复现及利用
NoooEmotion的博客
01-28 4087
Atlassian Jira是企业广泛使用的项目与事务跟踪工具,被广泛应用于缺陷跟踪、客户服务、需求收集、流程审批、任务跟踪、项目跟踪和敏捷管理等工作领域。
记一次gitlab应急响应
Boom!脑洞大爆炸的博客
06-18 323
记一次gitlab应急响应
7 步提升私有化部署的极狐GitLab 实例安全等级
GitLab 中国发行版
05-31 1340
保留高效工作所需功能的同时,将风险最小化。
GitLab远程代码执行漏洞风险提示(CVE-2022-2185)
qzt961003的博客
07-05 3943
近日, GitLab 官方发布了安全公告,修复GitLab 社区版(CE)和企业版(EE)中的一个远程代码执行漏洞CVE-2022-2185),CVSS 评分 9.9,该漏洞源于授权用户可以导入恶意制作的项目导致远程代码执行,成功利用此漏洞的攻击者可获得服务器权限。目前官方已发布安全版本,建议受影响的用户尽快采取安全措施。...
警惕 CVE-2022-26809后门
weixin_48421613的博客
05-19 2052
今天突然之间就有好多小伙伴研究起了一个一个月前的CVE漏洞----CVE-2022-26809|远程代码执行漏洞; 文章地址: https://www.ddosi.org/cve-2022-26809-exp/ exp地址: https://github.com/rkxxz/CVE-2022-26809 而后无数的群友一起去尝试,但是无一成功 本人也在虚拟机里面运行了一下,分别生成了x64以及x86的shellcode.bin文件 虚拟机运行所谓的exp 显示成功了,然是实际上并没有上线,而后继续
[终端安全]顶级域接管指南.zip
11-04
4. 更新和补丁管理:保持所有软件和系统及时更新,以修复已知的安全漏洞。 三、安全管理 1. 政策和程序:制定并执行明确的网络安全政策,包括数据保护、密码管理、变更控制等。 2. 培训和意识:定期为员工提供网络...
泛微E-Office10远程代码执行漏洞
05-06
泛微E-Office 10确实存在远程代码执行漏洞,这个漏洞**可能导致严重的安全后果**。 该漏洞的关键在于系统处理上传的PHAR文件时存在的缺陷。攻击者能够上传伪装的PHAR文件到服务器,利用PHP处理PHAR文件时自动进行的...
域内最新提权漏洞原理深⼊分析
06-20
在该安全补丁更新中,修复了两个域内提 权漏洞CVE-2021-42287/CVE-2021-42278。但是当时这两个漏洞的利⽤详情和POC并未公布 出来,因此并未受到太多⼈关注。 国外安全研究员公布了针对CVE-2021-42287/CVE-2021-42278...
网络安全原理与应用:命令执行漏洞简介.pptx
05-16
**网络安全原理与应用:命令执行漏洞详解** 命令执行漏洞是Web应用安全领域中一个至关重要的问题,它涉及到服务器上的程序如何处理用户输入并执行系统命令。这种漏洞的存在使得攻击者有机会利用不恰当的数据过滤,...
主油泵出口压力表接管技术安全措施.docx
09-30
主油泵出口压力表接管技术安全措施.docx
GitLab针对关键账户接管漏洞发布安全补丁
qzt961003的博客
06-06 282
GitLab 已着手解决其服务中的一个关键安全漏洞,如果该漏洞被成功利用,可能导致用户账户被接管
CVE-2022-26134 Confluence远程命令执行漏洞复现
weixin_48421613的博客
06-05 5979
CVE-2022-26134 Confluence远程命令执行漏洞复现
CVE-2022-26809:Windows 远程代码执行漏洞,约72万台服务器端口暴露外网
anquanjishu的博客
04-15 1862
微软上周修复了一个Windows RPC CVE-2022-26809 漏洞,并将其评为「严重」级别,无需身份认证和用户交互,仅通过向受影响的目标服务器发送特制的RPC请求,即可触发并达到远程代码执行的目的。 受影响范围 从上表中可以看出来,此漏洞利用无需要交互。基本上暴露了445端口且运行了Windows RPC未安装补丁的Windows 服务器都容易受到攻击。据Shodan统计称,网上暴露445端口的服务器超过70万台,如图所示: 漏洞详情: 漏洞位于Win...
GitLab 企业版修复严重的账户接管漏洞
smellycat000的专栏
06-07 471
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士DevOps 平台GitLab 发布安全更新修复了多个漏洞,其中一个可导致账户接管,编号为CVE-2022-1680(CVSS 评分9.9)。CVE-2022-1680漏洞位于GitLab 企业版中,影响11.10起14.9.5之前、14.10起14.10.4之前以及15.0起15.0.1之前的所有版本。GitLab...
CVE-2022-1388 F5 BIG-IP 未授权RCE漏洞
战神/calmness的博客
05-10 913
目录 描述 危险级别 影响版本 过程 修复建议 参考 描述 BIG-IP本地流量管理器(LTM) 是一款出色的应用流量管理系统。近日披露F5 BIG-IP存在一处远程代码执行漏洞漏洞根源存在于iControl REST组件中,未经身份验证的攻击者可以发送请求绕过BIG-IP中的iControl REST认证,进而导致可以在目标主机上执行任意系统命令等 危险级别 高危 RCE任意命令执行 影响版本 BIG-IP 16.x: 16.1.0 - 16....
用自带的Nginx为gitlab做白名单(访问控制)(docker)
nanhavezhi的博客
07-10 1302
唠叨: 我们公司很少有业务跑在外网上,一般都是内网里跑,对内部提供服务的。 这段时间要过等保,机器做一下安全加固,搞一个黑白名单。 需求:除指定IP外,全部禁止访问。 试了几个 gitlab_rails 的文档,都不行,可能是我用的容器的原因??具体我也搞不太清楚。 就想到用nginx做访问控制。这个我搞过,我kibana的访问控制是用nginx做的。 gitlab本身集成的就有Nginx功能,所以不用再安装nginx,还是挺方便的。 直接进入主题吧!! 进入容器 docker exec -it -
GitLab 10.5.5 补丁版本发布,修复 Bug
热门推荐
lsxf_xin的专栏
03-20 1万+
GitLab 发布社区版和企业版10.5.5,该版本解决了10.5版本中的一些回归错误。更新内容:GitLab Libre,Starter,Premium和Ultimate提供:Fix delete milestone button showing up for all usersAdd index on section_name_id on ci_build_trace_sections tab...
漏洞通告】Gitlab存在多个高危漏洞
网络安全
04-17 818
Gitlab存在多个高危漏洞漏洞类型:代码执行漏洞、XML往返漏洞 漏洞危害:高危发布时间:2021年4月14日CNVD-ID编号:暂无漏洞详情GitLab 是一个用于仓库管...
gitlab远程漏洞版本升级修复
qq_41411704的博客
11-05 1154
一【华为云远程漏洞预警通知】 一、概要 近日,华为云关注到Gitlab官方在2021年4月14日发布的安全更新公告中披露的Gitlab远程命令执行漏洞CVE-2021-22205)在互联网上已出现在野攻击利用。由于Gitlab没有正确验证传递给解析器的图像文件,攻击者利用漏洞上传专门制作的图像文件可导致执行远程代码执行,目前漏洞POC已公开,风险较高。 GitLab 是一款基于 Git 的完全集成的软件开发平台。华为云提醒使用GitLab的用户尽快安排自检并做好安全加固。 参考链接:https://abo
cve-2022-41741
最新发布
06-22
CVE-2022-41741是一个安全漏洞的编号,它通常指的是软件中的一个已知安全问题。这种漏洞可能会影响各种系统和应用程序,包括但不限于Web服务器、数据库软件或其他类型的软件。具体的CVE-2022-41741描述可能涉及到代码执行、数据泄露、拒绝服务攻击或其他类型的威胁。 由于我是一个模型,我并不能实时查看最新的漏洞详情。然而,我可以告诉你一般CVE漏洞的含义:CVE代表"Common Vulnerabilities and Exposures"(通用漏洞及暴露),是由美国CERT Coordination Center(CERT/CC)维护的一个数据库,用于记录全球公开的安全漏洞。每个CVE ID都是唯一的,有助于跟踪和理解不同系统的安全状况。 如果你想知道CVE-2022-41741的具体信息,建议查阅相关安全更新、厂商公告或通过权威的安全资源网站(如CVE Details、NVD等)查询最新详情。同时,保持你的系统和软件更新到最新版本,以修复可能存在的安全风险。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值