我欲封天耳根小说零,天下高月小说

安全通告

Gitlab硬編碼漏洞安全風(fēng)險(xiǎn)通告

發(fā)布日期：2022-4-07

漏洞描述

近日，監(jiān)測到Gitlab硬編碼漏洞在互聯(lián)網(wǎng)上流傳，Gitlab是一個(gè)用于倉庫管理系統(tǒng)的開源項(xiàng)目，使用Git作為代碼管理工具，可通過Web界面訪問公開或私人項(xiàng)目，系統(tǒng)為使用了OmmiAuth提供程序(例如OAuth、LDAP、SAML)注冊的賬戶設(shè)置了硬編碼密碼，從而允許攻擊者可直接通過硬編碼密碼登錄并接管賬戶。

目前，此漏洞細(xì)節(jié)已在互聯(lián)網(wǎng)上流傳。鑒于此漏洞細(xì)節(jié)已公開，建議客戶盡快做好自查及防護(hù)。

漏洞危害

攻擊者可利用該漏洞進(jìn)行賬戶接管

漏洞等級

高危
受影響版本

Gitlab CE/EE? >=14.7,<14.7.7

Gitlab CE/EE? >=14.8,<14.8.5

Gitlab CE/EE? >=14.9,<14.9.2

不受影響版本

Gitlab CE/EE? >=14.7.7

Gitlab CE/EE? >=14.8.5

Gitlab CE/EE? >=14.9.2

修復(fù)方案

根據(jù)受影響版本中的信息，排查并升級到不受影響的版本

參考鏈接

https://nvd.nist.gov/vuln/detail/CVE-2022-1162
https://gitlab.com/gitlab-org/cves/-/blob/master/2022/CVE-2022-1162.json

【漏洞通告】Gitlab硬編碼漏洞安全風(fēng)險(xiǎn)通告

聯(lián)系我們：cert@chaosec.com

漏洞播報(bào)

【漏洞通告】Gitlab硬編碼漏洞安全風(fēng)險(xiǎn)通告

聯(lián)系我們：cert@chaosec.com