DevOps-Plattform GitLab Sicherheitslücke bei Remotecodeausführung (RCE)

Hintergrund:

GitLab hat ein offizielles Sicherheitsbulletin veröffentlicht, das eineSchwachstelle für entfernte Codeausführung(CVE-2022-2884) Diese Sicherheitsanfälligkeit ermöglicht es einem authentifizierten Benutzer, Remotecodeausführung zu erreichen, indem er von einem GitHub-API-Endpunkt importiert, und ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, könnte Serverprivilegien erlangen.

Betroffene Versionen:

GitLab CE/EE 15.3 Version: < 15.3.1

GitLab CE/EE 15.2 Version: < 15.2.3

GitLab CE/EE 15.1 Version: < 15.1.5

Ausnutzung der Schwachstelle:

Derzeit sind die Details der Sicherheitslücke und der Testcode noch nicht bekannt, aber böswillige Angreifer können die Auslöser der Sicherheitslücke durch einen Patch-Vergleich analysieren, und es wird empfohlen, dass die betroffenen Benutzer die Sicherheits-Patches rechtzeitig aktualisieren.

Empfehlungen für die Wiederherstellung:

Die offizielle Sicherheitsversion wurde veröffentlicht, und es wird empfohlen, ein Upgrade auf die sichere Version durchzuführen.

https://about.gitlab.com/update/

https://about.gitlab.com/releases/2022/08/22/critical-security-release-gitlab-15-3-1-released/

Originalartikel von Chief Security Officer, bei Vervielfältigung bitte angeben: https://cncso.com/de/gitlab-devops-plattform-rce-verwundbarkeit-html

Wie (35)
Vorherige 15-Aug-2022 am12:00
Weiter Mittwoch, 30. August 2022 um 12:40 Uhr.

Empfohlen