Обнаружена критическая уязвимость в ПО GitLab(CVE-2022-2884)
22 Августа 2022 года в открытом доступе появилась информация об обнаружении уязвимости в программном обеспечении GitLab. Уязвимость была обнаружена в компоненте GitLab Import API. Посредством отправки специального запроса авторизованный злоумышленник получает возможность выполнить удаленно выполнить произвольный код на устройстве. PoC-эксплоитов в открытом доступе не обнаружено.
CVE-ID: CVE-2022-2884
VENDOR-ADVISORY:
https://about.gitlab.com/releases/2022/08/22/critical-security-release-gitlab-15-3-1-released/
CVSS Score: 9.9
CVSS: AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
Дата публикации сведений об уязвимости: 22.08.2022
Уязвимые программные продукты:
• Все версии Gitlab c 11.3.4 до 15.1.5
• Все версии Gitlab c 15.2 до 15.2.3
• Все версии Gitlab c 15.3 до 15.3.1
Рекомендации по устранению уязвимости:
1. В кратчайшие сроки установить обновление для уязвимых версий ПО с официального сайта разработчика.
2. В случае невозможности установки обновления следует принять меры приведенные в разделе "Workarounds" статьи "Vendor Advisory"
Обновление ПО может привести к недекларированным изменениям в функционале продукта. При принятии решения об обновлении следует соотнести риски, которые несет описанная уязвимость для вашей инфраструктуры и риски установки обновления. Для минимизации рисков от некорректного обновления перед установкой обновлений в продуктивной среде, рекомендуется проверить работоспособность ПО в тестовой среде.
#software
@devopskaz
22 Августа 2022 года в открытом доступе появилась информация об обнаружении уязвимости в программном обеспечении GitLab. Уязвимость была обнаружена в компоненте GitLab Import API. Посредством отправки специального запроса авторизованный злоумышленник получает возможность выполнить удаленно выполнить произвольный код на устройстве. PoC-эксплоитов в открытом доступе не обнаружено.
CVE-ID: CVE-2022-2884
VENDOR-ADVISORY:
https://about.gitlab.com/releases/2022/08/22/critical-security-release-gitlab-15-3-1-released/
CVSS Score: 9.9
CVSS: AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
Дата публикации сведений об уязвимости: 22.08.2022
Уязвимые программные продукты:
• Все версии Gitlab c 11.3.4 до 15.1.5
• Все версии Gitlab c 15.2 до 15.2.3
• Все версии Gitlab c 15.3 до 15.3.1
Рекомендации по устранению уязвимости:
1. В кратчайшие сроки установить обновление для уязвимых версий ПО с официального сайта разработчика.
2. В случае невозможности установки обновления следует принять меры приведенные в разделе "Workarounds" статьи "Vendor Advisory"
Обновление ПО может привести к недекларированным изменениям в функционале продукта. При принятии решения об обновлении следует соотнести риски, которые несет описанная уязвимость для вашей инфраструктуры и риски установки обновления. Для минимизации рисков от некорректного обновления перед установкой обновлений в продуктивной среде, рекомендуется проверить работоспособность ПО в тестовой среде.
#software
@devopskaz