1.漏洞概述
2022 年 3 月 31 日 GitLab Inc. 官方发布安全更新,披露了 CVE-2022-1162 安全漏洞,通过 OmniAuth provider(如:OAuth, LDAP, SAML)注册登录 GitLab 的用户会被设置一个硬编码的密码,从而允许攻击者通过该硬编码密码登录并接管用户的账号。
- 漏洞详情:CVE-2022-1162
- GitLab Inc.官方安全更新补丁:GitLab Critical Security Release: 14.9.2, 14.8.5, and 14.7.7
2.漏洞CVE-2022-1162影响范围
CVE-2022-1162 影响范围从 GitLab 14.7 开始,影响范围为如下版本:
- 14.7 <= GitLab(CE/EE/JH)< 14.7.7
- 14.8 <= GitLab(CE/EE/JH)< 14.8.5
- 14.9 <= GitLab(CE/EE/JH)< 14.9.2
3.漏洞出处
该漏洞最初由 GitLab Inc. 内部员工发现。
4.漏洞问题根因
在受到影响的 GitLab 版本中,通过 OmniAuth provider 注册登录 GitLab 的用户账号会被设置一个硬编码的密码,攻击者可通过该硬编码密码结合用户的账号名登录 GitLab 并接管该账号。
5.漏洞问题解决
对于 GitLab 私有化部署版的用户,通过将原有的GitLab CE/EE/JH 升级至极狐GitLab 14.7.7、14.8.5、14.9.2 版本即可修复该漏洞,然后按照这里的步骤重置受影响账号的密码。
对于 SaaS 用户(jihulab.com),无需进行任何操作,我们已经升级 SaaS 以修复该漏洞,并对可能受到该漏洞影响的用户进行了密码重置。
6.极狐GitLab技术支持
极狐技术支持团队为极狐GitLab 付费客户(专业版/旗舰版)提供全面的技术支持。极狐GitLab技术团队提供的服务有:
- 将协助您进行系统升级(Omnibus、Docker、Helm部署方式均可)
- 及时响应客户反馈,快速处理各种问题,我们的SLA 可参考:极狐GitLab技术支持SLA
- 一体化DevOps平台构建与方案优化
- 帮助您更加安全高效地使用极狐GitLab
- 协助您集成第三方软件平台
- 提供优化极狐GitLab的技术咨询,并得到本地化的极狐GitLab专业技术支持
您可以通过 https://support.gitlab.cn/#/portal/myticket 联系极狐技术支持团队寻求帮助。
此外,欢迎大家登录极狐GitLab论坛来学习交流 与DevOps、开源、远程办公等相关的内容。任何问题,我们都有专业的人员为你解答。