圖片來源: 

GitLab

GitLab在3月31日釋出安全更新,主要是為了修補可被駭客接管帳號的CVE-2022-1162重大安全漏洞。

CVE-2022-1162是因用戶採用OmniAuth進行註冊時,無意間設成靜態密碼所造成的安全漏洞,將允許駭客接管用戶帳號,其CVSS風險等級高達9.1。不管是OAuth、LDAP或SAML皆屬OmniAuth供應商,同時波及GitLab Community Edition(CE)與GitLab Enterprise Edition(EE)的14.7至14.7.6、14.8至14.8.4及14.9至14.9.1版本,GitLab已釋出CE與EE的14.7.7、14.8.5與14.9.2來修補該漏洞,並修補了其它十多個安全漏洞,亦強烈建議所有用戶立即升級到最新版。

幸好CVE-2022-1162是由GitLab內部團隊所發現,雖然尚未接獲任何用戶遭駭的報告,但為了保險起見,GitLab於修補當天已主動重設特定用戶的密碼,另也釋出一個腳本程式以讓管理人員得以辨識哪些使用者帳號受到CVE-2022-1162漏洞影響。

目前約有逾10萬個組織採用GitLab的DevOps平臺,其全球註冊用戶超過3,000萬個。

熱門新聞

Advertisement