GitLab遠程代碼執(zhí)行漏洞
- CNNVD編號:未知
- 危害等級: 高危
- CVE編號:CVE-2022-2884
- 漏洞類型: 未知
- 威脅類型:未知
- 廠 商:未知
- 漏洞來源:深信服
- 發(fā)布時間:2022-08-24
- 更新時間:2022-08-24
漏洞簡介
2022年8月23日,深信服安全團隊監(jiān)測到一則 GitLab組件存在遠程代碼執(zhí)行漏洞的信息,漏洞編號:CVE-2022-2884,漏洞威脅等級:高危。
當用戶已經(jīng)通過登錄認證時,攻擊者可利用該漏洞通過 GitHub API 構造惡意數(shù)據(jù)執(zhí)行遠程代碼攻擊,最終獲取服務器最高權限。
漏洞公示
暫無
參考網(wǎng)站
暫無
受影響實體
目前受影響的 GitLab 版本:
11.3.4 ≤ GitLab CE/EE < 15.1.5
15.2 ≤ GitLab CE/EE < 15.2.3
15.3 ≤ GitLab CE/EE < 15.3.1
補丁
1.如何檢測組件系統(tǒng)版本
方法一:
登錄 GitLab 后訪問 https://域名或ip/help 頁面:
方法二:
以容器化方式為例,運行以下命令可查看如下文件內容確認版本:
cat /opt/gitlab/embedded/service/gitlab-rails/VERSION
2.官方修復建議
當前官方已發(fā)布最新版本,建議受影響的用戶及時更新升級到最新版本。鏈接如下:
https://about.gitlab.com/update/
3.深信服解決方案
3.1 主動檢測
支持對 GitLab 遠程代碼執(zhí)行漏洞(CVE-2022-2884)的主動檢測,可批量快速檢出業(yè)務場景中該事件的受影響資產情況,相關產品如下:
【深信服安全云眼CloudEye】預計2022年9月1日發(fā)布檢測方案。
【深信服云鏡YJ】預計2022年9月1日發(fā)布檢測方案。
【深信服漏洞評估工具TSS】預計2022年9月1日發(fā)布檢測方案。
【深信服安全托管服務MSS】預計2022年9月1日發(fā)布檢測方案。
