1.漏洞概述

2022 年 3 月 31 日 GitLab Inc. 官方发布安全更新，披露了 CVE-2022-1162 安全漏洞，通过 OmniAuth provider（如：OAuth, LDAP, SAML）注册登录 GitLab 的用户会被设置一个硬编码的密码，从而允许攻击者通过该硬编码密码登录并接管用户的账号。

• 漏洞详情：CVE-2022-1162
• GitLab Inc.官方安全更新补丁：GitLab Critical Security Release: 14.9.2, 14.8.5, and 14.7.7

2.漏洞CVE-2022-1162影响范围

CVE-2022-1162 影响范围从 GitLab 14.7 开始，影响范围为如下版本：

• 14.7 <= GitLab（CE/EE/JH）< 14.7.7
• 14.8 <= GitLab（CE/EE/JH）< 14.8.5
• 14.9 <= GitLab（CE/EE/JH）< 14.9.2

3.漏洞出处

该漏洞最初由 GitLab Inc. 内部员工发现。

4.漏洞问题根因

在受到影响的 GitLab 版本中，通过 OmniAuth provider 注册登录 GitLab 的用户账号会被设置一个硬编码的密码，攻击者可通过该硬编码密码结合用户的账号名登录 GitLab 并接管该账号。

5.漏洞问题解决

对于 GitLab 私有化部署版的用户，通过将原有的GitLab CE/EE/JH 升级至极狐GitLab 14.7.7、14.8.5、14.9.2 版本即可修复该漏洞，然后按照这里的步骤重置受影响账号的密码。

对于 SaaS 用户（jihulab.com），无需进行任何操作，我们已经升级 SaaS 以修复该漏洞，并对可能受到该漏洞影响的用户进行了密码重置。

6.极狐GitLab技术支持

极狐技术支持团队为极狐GitLab 付费客户（专业版/旗舰版）提供全面的技术支持。极狐GitLab技术团队提供的服务有：

• 将协助您进行系统升级(Omnibus、Docker、Helm部署方式均可)
• 及时响应客户反馈，快速处理各种问题，我们的SLA 可参考：极狐GitLab技术支持SLA
• 一体化DevOps平台构建与方案优化
• 帮助您更加安全高效地使用极狐GitLab
• 协助您集成第三方软件平台
• 提供优化极狐GitLab的技术咨询，并得到本地化的极狐GitLab专业技术支持

您可以通过 https://support.gitlab.cn/#/portal/myticket 联系极狐技术支持团队寻求帮助。

此外，欢迎大家登录极狐GitLab论坛来学习交流 与DevOps、开源、远程办公等相关的内容。任何问题，我们都有专业的人员为你解答。