OSCS(开源软件供应链安全社区)致力于让每一个开源项目变的更安全,也帮助每一个开发者更安全的使用开源代码。
漏洞概述
2022年7月1日,OSCS 监测到 Gitlab 曝出远程代码执行漏洞。该漏洞等级较为严重。
GitLab 中授权用户可以导入恶意制作的项目导致远程代码执行,攻击者可利用该漏洞执行任意远程代码,OSCS 建议各位开发者关注漏洞风险。
GitLab 是美国 GitLab 公司的一款使用 Ruby on Rails 开发的、自托管的、Git(版本控制系统)项目仓库应用程序,开发者可通过 Web 界面访问公开或私人项目。
漏洞评级:严重
影响项目:GitLab
影响版本:
组件 | 影响版本 | 安全版本 |
GitLab CE/EE 14.0版本 | < 14.10.5 | 14.10.5 |
GitLab CE/EE 15.0版本 | < 15.0.4 | 15.0.4 |
GitLab CE/EE 15.1版本 | < 15.1.1 | 15.1.1 |
处置建议
获取 GitLab 版本,判断其版本在 [14.0, 14.10.5)、[15.0, 15.0.4)、[15.1, 15.1.1)范围中,根据影响版本信息,排查并升级到安全版本。
参考链接
OSCS | 开源软件供应链安全社区 | 让每一个开源项目变得更安全
GitLab Critical Security Release: 15.1.1, 15.0.4, and 14.10.5|GitLab
了解更多
1、免费使用 OSCS 的情报订阅服务
OSCS (开源软件供应链安全社区)会第一时间发布开源项目最新的安全风险动态,包括开源组件安全漏洞、事件等信息,社区用户可通过企微、钉钉、飞书机器人等方式订阅情报信息,具体订阅方式详见:https://www.oscs1024.com/docs/vuln-warning/intro/
2、使用墨菲安全的 IDE 插件帮您快速检测代码安全
在 Jetbrains IDE 插件市场搜索 “murphysec” 安装检测插件,一键检测一键修复
3、其他