1.漏洞概述

2022 年 3 月 31 日 GitLab Inc. 官方发布安全更新,披露了 CVE-2022-1162 安全漏洞,通过 OmniAuth provider(如:OAuth, LDAP, SAML)注册登录 GitLab 的用户会被设置一个硬编码的密码,从而允许攻击者通过该硬编码密码登录并接管用户的账号。

2.漏洞CVE-2022-1162影响范围

CVE-2022-1162 影响范围从 GitLab 14.7 开始,影响范围为如下版本:

3.漏洞出处

该漏洞最初由 GitLab Inc. 内部员工发现。

4.漏洞问题根因

在受到影响的 GitLab 版本中,通过 OmniAuth provider 注册登录 GitLab 的用户账号会被设置一个硬编码的密码,攻击者可通过该硬编码密码结合用户的账号名登录 GitLab 并接管该账号。

5.漏洞问题解决

对于 GitLab 私有化部署版的用户,通过将原有的GitLab CE/EE/JH 升级至极狐GitLab 14.7.7、14.8.5、14.9.2 版本即可修复该漏洞,然后按照这里的步骤重置受影响账号的密码。

对于 SaaS 用户(jihulab.com),无需进行任何操作,我们已经升级 SaaS 以修复该漏洞,并对可能受到该漏洞影响的用户进行了密码重置。

6.极狐GitLab技术支持

极狐技术支持团队为极狐GitLab 付费客户(专业版/旗舰版)提供全面的技术支持。极狐GitLab技术团队提供的服务有:

您可以通过 https://support.gitlab.cn/#/portal/myticket 联系极狐技术支持团队寻求帮助。

此外,欢迎大家登录极狐GitLab论坛来学习交流 与DevOps、开源、远程办公等相关的内容。任何问题,我们都有专业的人员为你解答。

60天免费试用极狐GitLab专业版

极狐GitLab不仅是源代码管理或CI/CD工具,它是一个覆盖完整软件开发生命周期和DevOps的开放式一体化平台。

企业版试用
售前咨询
联系电话
在线支持
预约演示