GitLab 修复两个严重的远程代码执行漏洞

最新推荐文章于 2025-03-21 16:51:09 发布
最新推荐文章于 2025-03-21 16:51:09 发布
阅读量498 收藏
点赞数
文章标签: 安全 信息安全 python git java
原文链接:https://mp.weixin.qq.com/s?__biz=MzI2NTg4OTc5Nw==&mid=2247513659&idx=2&sn=2f2dfa5beb36144d258cfc9aae9a6961&chksm=ea948751dde30e47c001f82da2a744dd9248717d7d94b35de8b94974f3fa361b8b3dfe6effc5&scene=126&&sessionid=0
版权
GitLab已修复CVE-2022-2884的远程代码执行漏洞,影响多个版本,建议用户升级至最新版或临时禁用GitHubimport功能。15.3版新增多项安全特性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

f65ab783f69bbf5d1c47274160dcb0ef.gif 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

DevOps 平台 GitLab 修复了位于 GitLab社区版和企业版发布中的两个远程代码执行漏洞 (CVE-2022-2884)。

该漏洞的CVSS评分为9.9,可通过GitHub import API被利用,不过首先需要触发认证。GitLab 在安全公告中指出,“GitLab 社区版/企业版中存在一个漏洞,影响自11.3.4起至15.1.5(不含)的所有版本、自15.2至15.2.3(不含)的所有版本以及自15.3起至15.3.1(不含)的所有版本,可导致认证用户通过GitHub API 端点的 Import 实现远程代码执行。”

该公司指出,“我们强烈建议所有运行受影响版本的程序尽快升级至最新版本。”如无法立即升级,则通过设置目录中的“可见性和访问控制”标签禁用 GitHub import 功能(使用管理员账户)。

GitLab 社区版和企业版15.3.1、15.2.3和15.1.5中已包含补丁。GitLab并未提到该漏洞是否已遭在野利用。

GitLab 15.3还增加了其它安全增强功能,如可和最短密码长度一起选择定义密码复杂度,为所有受保护分支增加批准规则,以及对新访问令牌的安全默认设置。

代码卫士试用地址:https://codesafe.qianxin.com

开源卫士试用地址:https://oss.qianxin.com

fa7cdfa9a91969d88dbba8be586be4ca.jpeg

推荐阅读

GitLab 修复严重的RCE漏洞

GitLab 企业版修复严重的账户接管漏洞

研究员发现针对 GitLab CI 管道的供应链攻击

GitLab 严重漏洞可用于接管用户账户

GitLab 严重漏洞可导致攻击者窃取runner 注册令牌

原文链接

https://www.securityweek.com/gitlab-patches-critical-remote-code-execution-vulnerability

题图:Pixabay License‍

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

9db9694332a183ab50360c2473e987c6.jpeg

98f0af45260b38309011b080c047c5c8.jpeg

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

   494f7bace2713b4f23f8e173267f6324.gif 觉得不错,就点个 “在看” 或 "赞” 吧~

GitLabGitLab代码审查与合并请求教程_2024-07-18_03-08-44.Tex
11-30 586
在开始使用GitLab进行代码审查和合并请求之前,理解GitLab的用户界面是至关重要的。GitLab的界面设计直观,旨在简化项目管理和代码协作流程。
GitLabGitHub 导入 API 存在远程代码执行漏洞
OSCS开源安全社区
09-01 383
OSCS(开源软件供应链安全社区)通过最快、最全的方式,发布开源项目最新的安全风险动态,包括开源组件安全漏洞、事件等信息。GitLab 的受影响版本中存在远程代码执行漏洞,此漏洞CVE-2022-2884 相似,允许经过身份验证的用户通过从 GitHub API 端点导入来实现远程代码执行GitLab 是由 GitLab 公司开发的、基于 Git 的集成软件开发平台。升级GitLab到15.1.6或更高版本。升级GitLab到15.2.4或更高版本。升级GitLab到15.3.2或更高版本。...
GitLab 发布安全修复版本 11.9.7, 11.8.7 和 11.7.11
weixin_33873846的博客
04-11 132
GitLab 为社区版和企业版发布了最新的 11.9.7, 11.8.7 和 11.7.11 版本。官方表示主要是为了修复企业版本中的重要安全问题,虽然社区版不受影响,但为了保持版本号一...
GitLab身份绕过(CVE-2024-6678)漏洞修复方案
最新发布
AoiMukou01的博客
03-21 422
影响版本:8.14 ≤ GitLab < 17.1.7、17.2 ≤ GitLab < 17.2.5、17.3 ≤ GitLab < 17.3.2。影响版本:8.14 ≤ GitLab < 17.1.7、17.2 ≤ GitLab < 17.2.5、17.3 ≤ GitLab < 17.3.2。若当前版本不在受影响范围内或升级到修复版本,则完成修复​​​​​​​。若当前版本在受影响范围内且未升级到修复版本,则存在风险。继续重复升级,升级到不被漏洞影响的版本。已升级到Gitlab漏洞影响范围外版本。
漏洞预警Gitlab Wiki API 远程代码执行漏洞
weixin_34413065的博客
09-29 440
漏洞预警Gitlab Wiki API 远程代码执行漏洞 https://aqzt.com/5490.html 转载于:https://blog.51cto.com/ppabc/2287570
漏洞预警】GitLab 曝出远程代码执行漏洞
OSCS开源安全社区
07-01 1240
2022年7月1日,OSCS 监测到 GitLab 曝出远程代码执行漏洞。该漏洞等级较为严重CVE编号为 CVE-2022-2185
漏洞预警】Gitlab 曝出远程代码执行漏洞
murphysec的博客
07-01 1088
2022年7月1日,OSCS 监测到 Gitlab 曝出远程代码执行漏洞。该漏洞等级较为严重GitLab 中授权用户可以导入恶意制作的项目导致远程代码执行,攻击者可利用该漏洞执行任意远程代码,OSCS 建议各位开发者关注漏洞风险。GitLab 是美国 GitLab 公司的一款使用 Ruby on Rails 开发的、自托管的、Git(版本控制系统)项目仓库应用程序,开发者可通过 Web 界面访问公开或私人项目。漏洞评级:严重影响项目:GitLab影响版本:获取 GitLab 版本,判断其版本在 [14.0
漏洞复现】4. Gitlab exiftool远程命令执行漏洞CVE-2021-22205)复现与分析
Zichel77的博客
03-21 1799
Gitlab是由Gitlab Inc.开发,基于网络的GIt仓库管理工具,且具有wiki和issue跟踪功能,使用Git作为代码管理工具,并在此基础上搭建起来的Web服务,通过Web界面进行访问公开的或私人的项目。2021年4月5日,GitLab官方发布安全更新修复了此GitLab命令执行漏洞CVE-2021-22205)。
CVE-2020-10977-Gitlab RCE 任意文件读取导致远程命令执行漏洞-环境搭建及完整复现-exp-图文详细笔记
weixin_43311457的博客
10-29 3283
Gitlab任意文件读取导致远程命令执行 漏洞环境搭建-Centos7 1.安装依赖软件 yum -y install policycoreutils openssh-server openssh-clients postfix 2.设置postfix开机自启,并启动,postfix支持gitlab发信功能(对漏洞环境应该不重要) systemctl enable postfix && systemctl start postfix 3.下载gitlab安装包,然后安装 官方下载: CE
【通过rpm包部署gitlab服务并进行 GitLab 远程命令执行漏洞复现】
weixin_71347617的博客
12-21 255
工作记录
GitLab升级版本(任意用户密码重置漏洞CVE-2023-7028)
weixin_52796198的博客
01-24 1904
最近GitLab发了个紧急漏洞需要修复,ok接到命令立刻着手开始修复,在修复之前先大概了解一下这个漏洞是什么东西。
GitLab之Nginx漏洞修复方案
Quincy.Coder的博客
06-01 648
1、需求:nginx的resolver模块漏洞,涉及nginx版本0.60-1.20 2、解决方案: 替换gitlab自带的nginx,方案比较复杂,会出现较多问题 在gtilab外用nginx最新版再负载一层,这个方案不需要修改很多gitlab原有的配置,被暂时采用 3、具体实践: 下载最新版nginx(传送门->):nginx下载 安装nginx: tar -xzvf nginx-1.21.0.tar.gz cd nginx-1.21.0 ./configure --prefix
Gitlab远程代码执行漏洞(CVE-2021-22205)在野利用,8220挖矿团伙最新变种分析
ZL_1618的博客
08-17 490
近日,阿里云安全监测到Gitlab远程代码执行(CVE-2021-22205)在野利用,其团伙不仅利用4层协议服务进行入侵,还集成了使用比较广的WebRCE漏洞,最终通过持久化方式进行挖矿、木马后门维持,对用户主机资源、资产产生不良危害,通过攻击手法、文件命名自动确认为8220挖矿团伙最新变种。阿里云安全持续对最新变种进行监控,发现至10月21日后传播有所上升,11月4日发现利用Gitlab远程代码漏洞进行入侵,提醒广大企业客户注意防护。
GitLab 修复严重的RCE漏洞
smellycat000的专栏
07-04 727
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士GitLab 修复了一个严重漏洞,可导致攻击者远程执行代码。该漏洞的编号是CVE-2022-2185。该漏洞的等级为“严重”,出现在GitLab的所有版本中:14.10.5之前的14.0版本、15.0.4之前的15.0版本以及15.1.1之前的15.1版本。GitLab 在一份安全公告中指出,认证用户可导入恶意构造的项目...
认识漏洞-GitLab 远程命令执行漏洞、致远OA-ajax.do未授权任意文件上传漏洞
Boom!脑洞大爆炸的博客
07-27 662
认识漏洞-GitLab 远程命令执行漏洞、致远OA-ajax.do未授权任意文件上传漏洞
GitLab远程代码执行漏洞(CVE-2022-2992)处理
x10n9的博客
09-08 2010
漏洞存在是由于未对GitHub中导入的API端点请求数据进行校验。经过身份认证的远程攻击者可通过发送特制的请求包最终在目标机器上执行任意代码。可以通过禁用 GitHub 导入来缓解。5.确认“GitHub”没有作为导入选项出现。4.在“导入源”下禁用“GitHub”选项。1.在浏览器窗口中,以任何用户身份登录。3.展开“可见性和访问控制”选项卡。1.点击“菜单”->“管理”。2.点击“设置”->“常规”。3.点击“新建项目/存储库”。2.点击顶部栏上的“+”。5.点击“保存更改”。4.点击“导入项目”。
2024年最全网络安全-一句话木马(1),顺利拿到offer
2301_79985178的博客
05-05 469
这个方向初期比较容易入门一些,掌握一些基本技术,拿起各种现成的工具就可以开黑了。
GitLab 远程命令执行漏洞复现及坑点解决——CVE-2021-22205
cfzy_2024的博客
03-27 1367
GitLab 没有正确验证传递给文件解析器的图像文件,攻击者可利用该漏洞在服务端进行远程命令执行,漏洞编号CVE-2021-22205。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值