1.漏洞概述
2022 年 6 月 30 日 GitLab Inc. 官方发布安全更新,披露了 CVE-2022-2185 安全漏洞,授权用户可以导入恶意制作的项目导致远程代码执行。
- 漏洞详情:CVE-2022-2185
- GitLab Inc.官方安全更新补丁:GitLab Critical Security Release: 15.1.1, 15.0.4, and 14.10.5
2.漏洞 CVE-2022-2185 影响范围
CVE-2022-2185 影响范围从 GitLab 14.0 开始,影响范围为如下版本:
- 14.0 <= GitLab(CE/EE/JH)< 14.10.5
- 15.0 <= GitLab(CE/EE/JH)< 15.0.4
- 15.1 <= GitLab(CE/EE/JH)< 15.1.1
3.漏洞出处
Vakzz 通过HackerOne 漏洞赏金计划报告此漏洞。
4.漏洞问题根因
授权用户可以导入恶意制作的项目来执行远程代码。
5.漏洞问题解决
对于 GitLab 私有化部署版的用户,通过将原有的 Gitlab CE/EE/JH 升级至极狐GitLab 14.10.5、15.0.4、15.1.1 版本即可修复该漏洞。
对于 SaaS 用户(jihulab.com),无需进行任何操作,我们已经升级 SaaS 以修复该漏洞。
6.极狐GitLab技术支持
极狐技术支持团队为极狐GitLab 付费客户(专业版/旗舰版)提供全面的技术支持。极狐GitLab技术团队提供的服务有:
- 将协助您进行系统升级(Omnibus、Docker、Helm部署方式均可)
- 及时响应客户反馈,快速处理各种问题,我们的SLA 可参考:极狐GitLab技术支持SLA
- 一体化DevOps平台构建与方案优化
- 帮助您更加安全高效地使用极狐GitLab
- 协助您集成第三方软件平台
- 提供优化极狐GitLab的技术咨询,并得到本地化的极狐GitLab专业技术支持
您可以通过 https://support.gitlab.cn/#/portal/myticket 联系极狐技术支持团队寻求帮助。
此外,欢迎大家登录极狐GitLab论坛来学习交流 与DevOps、开源、远程办公等相关的内容。任何问题,我们都有专业的人员为你解答。