фон:
GitLab официально выпустил рекомендации по безопасности, исправляющие одну из версий GitLab Community Edition (CE) и Enterprise Edition (EE).Уязвимость удаленного выполнения кода(CVE-2022-2884) Эта уязвимость позволяет прошедшим проверку подлинности пользователям удаленно выполнять код путем импорта из конечной точки API GitHub. Злоумышленник, успешно воспользовавшийся этой уязвимостью, может получить привилегии сервера.
Затронутые версии:
Версия GitLab CE/EE 15.3: < 15.3.1
Версия GitLab CE/EE 15.2: < 15.2.3
Версия GitLab CE/EE 15.1: < 15.1.5
Эксплойт:
В настоящее время подробности уязвимости и тестовый код не разглашаются, но злоумышленники могут сравнить и проанализировать триггерные точки уязвимости.Пострадавшим пользователям рекомендуется своевременно обновлять исправления безопасности.
Рекомендации по ремонту:
Выпущена официальная версия безопасности, и рекомендуется выполнить обновление до версии безопасности.
https://about.gitlab.com/обновление/
https://about.gitlab.com/releases/2022/08/22/critical-security-release-gitlab-15-3-1-released/
Оригинальная статья написана Chief Security Officer, при воспроизведении просьба указывать: https://cncso.com/ru/gitlab-devops-platform-rce-vulnerability-html.
