GitLab 信息(access token)泄露漏洞
漏洞描述
GitLab CE/EE 是由GitLab公司开发的、基于Git的集成软件开发平台。
GitLab CE/EE 的受影响版本中存在敏感信息泄露漏洞,经过身份验证的攻击者(如维护人员)可以通过修改集成 URL,将经过身份验证的请求发送到攻击者控制的服务器,从而获取 GitHub 集成的访问令牌。
| 漏洞名称 | GitLab 信息(access token)泄露漏洞 |
|---|---|
| 漏洞类型 | 将资源暴露给错误范围 |
| 发现时间 | 2022-10-29 |
| 漏洞影响广度 | 广 |
| MPS编号 | MPS-2022-55621 |
| CVE编号 | CVE-2022-2882 |
| CNVD编号 | - |
影响范围
gitlab@影响所有版本
gitlab@影响所有版本
gitlab@影响所有版本
GitLab community@[15.4, 15.4.1)
GitLab community@[12.6, 15.2.5)
GitLab enterprise@[15.3, 15.3.4)
GitLab enterprise@[12.6, 15.2.5)
GitLab enterprise@[15.4, 15.4.1)
GitLab community@[15.3, 15.3.4)
修复方案
将组件 GitLab community 升级至 15.2.5 及以上版本
将组件 GitLab enterprise 升级至 15.3.4 及以上版本
将组件 GitLab enterprise 升级至 15.2.5 及以上版本
将组件 GitLab enterprise 升级至 15.4.1 及以上版本
将组件 GitLab community 升级至 15.3.4 及以上版本
将组件 GitLab community 升级至 15.4.1 及以上版本
参考链接
https://www.oscs1024.com/hd/MPS-2022-55621
https://nvd.nist.gov/vuln/detail/CVE-2022-2882
https://gitlab.com/gitlab-org/gitlab/-/issues/371082
https://gitlab.com/gitlab-org/cves/-/blob/master/2022/CVE-2022-2882.json
情报订阅
OSCS(开源软件供应链安全社区)通过最快、最全的方式,发布开源项目最新的安全风险动态,包括开源组件安全漏洞、事件等信息。同时提供漏洞、投毒情报的免费订阅服务,社区用户可通过配置飞书、钉钉、企业微信机器人,及时获得一手情报信息推送:
https://www.oscs1024.com/cm/?src=osc
具体订阅方式详见:
https://www.oscs1024.com/docs/vuln-warning/intro/?src=osc
关注公众号 低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
GitLab (webhook 日志)信息泄露漏洞
漏洞描述 GitLab CE/EE 是由GitLab公司开发的、基于Git的集成软件开发平台。 GitLab CE/EE 的受影响版本中存在信息泄漏漏洞,允许项目维护人员从 webhook 日志访问 DataDog 集成的 API 密钥,攻击者可利用此漏洞获取系统敏感信息。 漏洞名称 GitLab (webhook 日志)信息泄露漏洞 漏洞类型 将资源暴露给错误范围 发现时间 2022-10-29 漏洞影响广度 广 MPS编号 MPS-2022-56125 CVE编号 CVE-2022-3018 CNVD编号 - 影响范围 gitlab@影响所有版本 gitlab@影响所有版本 gitlab@影响所有版本 GitLab community@[15.4, 15.4.1) GitLab enterprise@[15.4, 15.4.1) GitLab enterprise@[9.3, 15.2.5) GitLab community@[9.3, 15.2.5) GitLab community@[15.3, 15.3.4) 修复方案 将组件 GitLab community 升级至 15....
- 下一篇
马斯克上任首日:要求特斯拉工程师审查推特工程师代码
美国《华盛顿邮报》援引消息人士称,当地时间 10 月 27 日晚,特斯拉 CEO 马斯克以 440 亿美元收购推特交易已完成,获得该公司控制权。与此同时,推特首席执行官 Parag Agrawal、首席财务官 Ned Segal、法律总顾问 Sean Edgett 等 4 名高管也被马斯克解雇。马斯克本人则发布了一篇推文称: the bird is freed 而在成为推特新负责人的第一天,马斯克还做出了一个要求;即,推特的工程师需要打印出他们的代码以供审查。知情人士称,一些工程师透露自己在周五上午收到了马斯克中间人的通知,表示他希望查阅他们所写的最新软件代码,希望他们将代码打印出来并展示给他看。但没过多久,他们又被通知无需再打印,只需要在电脑上准备好代码以供审查。 就是这样:今天,推特工程师被告知要“打印”他们最近 30 到 60 天的代码,这样他们就可以向 Elon Musk 本人展示。然后他们被告知等等,不,实际上,请撕碎你刚刚打印出来的所有代码。 彭博社指出,27 日当天,有几名特斯拉工程师被召集到推特旧金山总部以审查推特工程师的代码,以便“他们可以评估并向马斯克解释公司需要什...
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
推荐阅读
最新文章
- Linux系统CentOS6、CentOS7手动修改IP地址
- 2048小游戏-低调大师作品
- Springboot2将连接池hikari替换为druid,体验最强大的数据库连接池
- CentOS8安装MyCat,轻松搞定数据库的读写分离、垂直分库、水平分库
- CentOS8编译安装MySQL8.0.19
- CentOS6,CentOS7官方镜像安装Oracle11G
- CentOS7,8上快速安装Gitea,搭建Git服务器
- SpringBoot2整合Thymeleaf,官方推荐html解决方案
- MySQL8.0.19开启GTID主从同步CentOS8
- SpringBoot2更换Tomcat为Jetty,小型站点的福音
微信收款码
支付宝收款码