芒竹云公告 > 公告详情

【安全通告】Gitlab 硬编码漏洞风险通告(CVE-2022-1162)

发布时间:2022-04-13 08:43:13
尊敬的芒竹云用户,您好!
芒竹云安全运营中心监测到, Gitlab官方发布安全通告,披露了其gitlab产品存在硬编码漏洞,漏洞编号CVE-2022-1162。可导致攻击者接管账户等危害。
为避免您的业务受影响,芒竹云安全建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。
漏洞详情
GitLab 是一个用于代码仓库管理系统的开源项目,使用Git作为代码管理工具,并在此基础上搭建起来的Web服务。
据官方描述,系统会默认给使用了 OmniAuth 程序(例如 OAuth、LDAP、SAML)注册的帐户设置一个硬编码密码,从而允许攻击者可直接通过该硬编码密码登录并接管帐户。
风险等级
高风险
漏洞风险
攻击者利用该漏洞可导致攻击者直接登录并接管账户等危害
影响版本
Gitlab CE/EE >=14.7, <14.7.7
Gitlab CE/EE >=14.8, <14.8.5
Gitlab CE/EE >=14.9, <14.9.2
安全版本
Gitlab CE/EE >=14.7.7
Gitlab CE/EE >=14.8.5
Gitlab CE/EE >=14.9.2
修复建议
官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本
【备注】:建议您在升级前做好数据备份工作,避免出现意外
漏洞参考

https://about.gitlab.com/releases/2022/03/31/critical-security-release-gitlab-14-9-2-released/#static-passwords-inadvertently-set-during-omniauth-based-registration
https://gitlab.com/gitlab-org/cves/-/blob/master/2022/CVE-2022-1162.json


/template/Home/qcloud/PC/Static