GitLab 安全漏洞 CVE-2022-1162 如何解决?

头像
极狐GitLab
     上海
    阅读 2 分钟
    本文来自极狐GitLab 官方公众号【极狐GitLab】,原文链接:https://mp.weixin.qq.com/s/JVpA14HHWgt58s3vM5TRcA。

    GitLab 是一个全球知名的一体化 DevOps 平台,很多人都通过私有化部署 GitLab 来进行源代码托管。极狐GitLab 是 GitLab 在中国的发行版,专门为中国程序员服务。可以一键式部署极狐GitLab。

    关联阅读

    如果您想升级您的GitLab/极狐GitLab,欢迎查看极狐GitLab 安装官网。页面最下方有升级指南以及联系我们的方式。

    请添加图片描述如果出现问题,可以点击上面的联系我们跟我们进行交流,也可以通过极狐GitLab 官网官网首页右侧悬浮窗的联系方式跟我们进行交流。

    更多关于极狐GitLabhttps://gitlab.cn 或者 DevOps 的最佳实践,可以关注文末的极狐GitLab 公众号。

    漏洞概述



    2022 年 3 月 31 日 GitLab Inc. 官方发布安全更新,披露了 CVE-2022-1162 安全漏洞,通过 OmniAuth provider(如:OAuth, LDAP, SAML)注册登录 GitLab 的用户会被设置一个硬编码的密码,从而允许攻击者通过该硬编码密码登录并接管用户的账号。

    漏洞CVE-2021-22205影响范围



    CVE-2022-1162 影响范围从 Gitlab 14.7 开始,影响范围为如下版本:

    • 14.7 <= GitLab(CE/EE/JH)< 14.7.7
    • 14.8 <= GitLab(CE/EE/JH)< 14.8.5
    • 14.9 <= GitLab(CE/EE/JH)< 14.9.2

    漏洞出处



    该漏洞最初由 GitLab Inc. 内部员工发现。

    漏洞问题根因



    在受到影响的 GitLab 版本中,通过 OmniAuth provider 注册登录 GitLab 的用户账号会被设置一个硬编码的密码,攻击者可通过该硬编码密码结合用户的账号名登录 GitLab 并接管该账号。

    漏洞问题解决


    对于GitLab/极狐GitLab 私有化部署版的用户,通过将原有的GitLab CE/EE/JH升级至极狐GitLab 14.7.7、14.8.5、14.9.2 版本即可修复该漏洞。然后按照步骤重置受影响账号的密码。

    使用 Omnibus 安装部署的实例,升级详情可以查看极狐GitLab 安装包安装升级文档

    使用 Docker 安装部署的实例,可使用如下三个容器镜像将产品升级到上述三个版本:

    • registry.gitlab.cn/omnibus/gitlab-jh:14.7.7
    • registry.gitlab.cn/omnibus/gitlab-jh:14.8.5
    • registry.gitlab.cn/omnibus/gitlab-jh:14.9.2

    升级详情可以查看极狐GitLab Docker 安装升级文档

    使用云原生安装的实例,可将使用的 Helm Chart 升级到 5.7.7(对应 14.7.7)、5.8.5(对应 14.8.5)以及 5.9.2(对应 14.9.2)来修复该漏洞。升级详情可以查看 Helm Chart 安装升级文档

    对于 SaaS 用户(jihulab.com),无需进行任何操作,我们已经升级 SaaS 以修复该漏洞,并对可能受到该漏洞影响的用户进行了密码重置。

    极狐GitLab技术支持



    极狐技术支持团队为极狐GitLab 付费客户(专业版/旗舰版)提供全面的技术支持。极狐GitLab技术团队提供的服务有:

    • 将协助您进行系统升级(Omnibus、Docker、Helm部署方式均可)
    • 及时响应客户反馈,快速处理各种问题,我们的SLA 可参考:极狐GitLab技术支持SLA
    • 一体化DevOps平台构建与方案优化
    • 帮助您更加安全高效地使用极狐GitLab
    • 协助您集成第三方软件平台
    • 提供优化极狐GitLab的技术咨询,并得到本地化的极狐GitLab专业技术支持

    您可以通过 https://support.gitlab.cn/#/portal/myticket 联系极狐技术支持团队寻求帮助。

    此外,欢迎大家登录极狐GitLab论坛来学习交流 与DevOps、开源、远程办公等相关的内容。任何问题,我们都有专业的人员为你解答。

    学习极狐GitLab 的相关资料:

    1. 极狐GitLab 官网https://gitlab.cn
    2. 极狐GitLab 官网文档https://docs.gitlab.cn
    3. 极狐GitLab 论坛https://forum.gitlab.cn/
    4. 极狐GitLab 安装配置https://gitlab.cn/install
    5. 极狐GitLab 资源中心https://resources.gitlab.cn

    搜索【极狐GitLab】公众号,后台输入加群,备注gitlab,即可加入官方微信技术交流群。

    gitlab
    极狐GitLab
    64 声望36 粉丝

    极狐(GitLab) 以“核心开放”为原则,面向中国市场,提供开箱即用的开放式一体化安全DevOps平台——极狐GitLab。通过业界领先的优先级管理、安全、风险和合规性功能,实现产品、开发、QA、安全和运维团队间的高效协同...

    « 上一篇
    GitLab 安全漏洞 CVE-2023-7028 如何解决?
    下一篇 »
    GitLab 安全漏洞 CVE-2021-22205 如何解决?

    引用和评论

    推荐阅读
    头像
    GitLab 旗舰版的整体经济影响研究报告都说了什么?

    极狐GitLab

    头像
    CentOS7 Docker安装Gitlab

    YYGP阅读 6.7k

    头像
    如何在极狐GitLab中添加 SSH Key?

    极狐GitLab阅读 525

    头像
    Git fetch vs Git pull,到底应该如何用?

    极狐GitLab阅读 447

    头像
    如何解决 GitLab CI/CD Job 不工作的问题?

    极狐GitLab阅读 432

    头像
    GitLab 12.x、13.x、14.x、15.x 等老旧版本如何升级?

    极狐GitLab阅读 314

    头像
    GitLab 中文版如何设置密码长度、复杂度以及过期时间?

    极狐GitLab阅读 290

    0 条评论
    得票最新