↑ 点击上方 关注我们
近日,安全狗应急响应中心监测到Gitlab官方发布安全通告,披露了其Gitlab产品存在硬编码漏洞。漏洞编号CVE-2022-1162。
漏洞描述
GitLab 是一个用于代码仓库管理系统的开源项目,使用Git作为代码管理工具,并在此基础上搭建起来的Web服务。
据官方描述,系统会默认给使用了 OmniAuth 程序(例如 OAuth、LDAP、SAML)注册的帐户设置一个硬编码密码,从而允许攻击者可直接通过该硬编码密码登录并接管帐户。
安全通告信息
|
漏洞名称 |
Gitlab 硬编码漏洞 |
|
漏洞影响版本 |
Gitlab CE/EE >=14.7, <14.7.7 Gitlab CE/EE >=14.8, <14.8.5 Gitlab CE/EE >=14.9, <14.9.2 |
|
漏洞危害等级 |
高危 |
|
厂商是否已发布漏洞补丁 |
是 |
|
版本更新地址 |
https://gitlab.com/gitlab-org/cves/-/blob/master/2022/CVE-2022-1162.json |
|
安全狗总预警期数 |
216 |
|
安全狗发布预警日期 |
2022年4月7日 |
|
安全狗更新预警日期 |
2022年4月7日 |
|
发布者 |
安全狗海青实验室 |
处置措施
安全建议
目前这些漏洞已经修复,可及时升级到安全版本。
【备注】:建议您在升级前做好数据备份工作,避免出现意外
参考连接
https://about.gitlab.com/releases/2022/03/31/critical-security-release-gitlab-14-9-2-released/#static-passwords-inadvertently-set-during-omniauth-based-registration
https://gitlab.com/gitlab-org/cves/-/blob/master/2022/CVE-2022-1162.json
原文始发于微信公众号(海青安全研究实验室):【高危安全通告】Gitlab 硬编码漏洞
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论