【安全圈】GitLab安全更新修复了关键帐户接管漏洞

admin

102157
文章

87
评论

2022年6月11日19:20:55评论52 views字数 1204阅读4分0秒阅读模式

关键词

网络漏洞

GitLab是一个基于Web的Git存储库，适用于需要远程管理其代码的开发人员团队。它拥有大约3000万注册用户和100万付费客户。

最近，为了解决一些漏洞，GitLab为其社区版和企业版产品的多个版本发布了关键安全更新，其中包含着一个允许帐户接管的漏洞。

通过控制GitLab帐户，黑客可以访问开发人员的项目并窃取其源代码，而这会造成严重的后果。

【安全圈】GitLab安全更新修复了关键帐户接管漏洞

该漏洞被跟踪为CVE-2022-1680，严重性评分为9.9，从11.10至14.9.4、14.10至14.10.3和版本15.0的GitLab都会遭到影响。

当配置SAML SSO组时，SCIM功能可以允许高级权限的任何使用者通过用户名或者邮件邀请任意用户，然后通过SCIM功能将这些邮件改为攻击者控制的邮件。根据Gitlab公司公告，在这种具有特定配置的实例上可以利用该漏洞，好消息是目标帐户上存在双因素身份验证 (2FA) 可以减少滥用的可能性，但是攻击者还是有可能更改目标帐户的显示名称和用户名。

关于修复

该问题已通过所有受影响分支机构的安全更新得到解决。所有GitLab用户都应尽快迁移到最新的可用版本。

有关如何更新GitLab的说明，请访问

https://about.gitlab.com/update/。

对于GitLab Runner，您可以使用此数据库

https://docs.gitlab.com/runner/install/linux-repository.html#updating-the-runner。

此外，要检查安全断言标记语言 (SAML) 访问保护是否处于活动状态，管理员可以查看此说明网页

https://docs.gitlab.com/ee/integration/saml.html#configuring-group-saml-on-a-self-managed-gitlab-instance，其中包含有关将此功能设置为所需策略的指导。

其余高危漏洞

本次安全更新还修复了其他俩个高危险性的缺陷。第一个是Jira集成组件中的跨站点脚本 (XSS) 问题（CVE-2022-1940）它的严重性评分为 7.7。第二个是允许在联系人列表中注入HTML并启用XSS攻击，即缺少输入验证（CVE-2022-1948），严重性评分为8.7。

其它几个次危险性缺陷分别为IP白名单绕过漏洞，web段授权不当漏洞，群组成员访问不当漏洞以及锁绕过漏洞。

END

【安全圈】GitLab安全更新修复了关键帐户接管漏洞【安全圈】瑞星监测到利用微软最新高危漏洞的恶意代码

【安全圈】GitLab安全更新修复了关键帐户接管漏洞【安全圈】攻击者利用Facebook进行网络钓鱼，获取大量非法收益

安全圈

←扫码关注我们

网罗圈内热点专注网络安全

实时资讯一手掌握！

好看你就分享有用就点个赞

支持「安全圈」就点个三连吧！

原文始发于微信公众号（安全圈）：【安全圈】GitLab安全更新修复了关键帐户接管漏洞

左青龙
微信扫一扫

右白虎
微信扫一扫

【安全圈】GitLab安全更新修复了关键帐户接管漏洞

其余高危漏洞

Turla（又名Pensive Ursa）工具库分析

攻击者发现会话 Cookie 不可抗拒

千万别被钓鱼！虚假 CVE-2023-40477 PoC 传播远控木马

免费下载管理器被植入后门：一种针对Linux系统的潜在供应链攻击

【安全前沿】XSS漏洞深度探索：高级利用策略与实战案例

研究者把EDR安全工具改造成超级恶意软件

EDR的梦魇：Storm-0978使用新型内核注入技术Step Bear

宏碁遭遇网络攻击，部分员工数据被盗。

研究人员发现 Windows 缺陷，赋予黑客类似 Rootkit 的能力

Akira 勒索软件肆虐，波及250 多个组织机构

发表评论

在线咨询

微信