2022-08-24 18:40:07
Для платформы
DevOps GitLab, которую знает и использует почти каждый программист в своей работе, на этой неделе выпустили исправления от критической
уязвимости, которая может привести к выполнению произвольного кода.
Бага, отслеживаемая как CVE-2022-2884 имеет рейтинг 9,9 по CVSS и затрагивает все версии
GitLab Community Edition (CE) и Enterprise Edition (EE), начиная с 11.3.4 до 15.1.5, 15.2 до 15.2.3 и 15.3 до 15.3.1.
По своей сути, обнаруженная ошибка в безопасности — это случай удаленного выполнения кода с проверкой подлинности, т.е. злоумышленник, прошедший проверку подлинности, может активировать уязвимость через
API импорта
GitHub.
Об уязвимости стало известно от специалистов
yvvdwf, которые сообщили о проблеме в рамках программы
Bug bounty.
Команда
GitLab настоятельно рекомендует пользователям как можно скорее обновиться до последней версии.
До сих пор неясно, используется ли эта уязвимость в реальных атаках, но для тех, кто по каким-то причинам не может обновить софт
GitLab рекомендует отключить функцию импорта
GitHub.
194 views15:40