GitLab修補允許駭客接管用戶帳號的重大漏洞

GitLab在3月31日釋出安全更新，主要是為了修補可被駭客接管帳號的CVE-2022-1162重大安全漏洞。

CVE-2022-1162是因用戶採用OmniAuth進行註冊時，無意間設成靜態密碼所造成的安全漏洞，將允許駭客接管用戶帳號，其CVSS風險等級高達9.1。不管是OAuth、LDAP或SAML皆屬OmniAuth供應商，同時波及GitLab Community Edition（CE）與GitLab Enterprise Edition（EE）的14.7至14.7.6、14.8至14.8.4及14.9至14.9.1版本，GitLab已釋出CE與EE的14.7.7、14.8.5與14.9.2來修補該漏洞，並修補了其它十多個安全漏洞，亦強烈建議所有用戶立即升級到最新版。

幸好CVE-2022-1162是由GitLab內部團隊所發現，雖然尚未接獲任何用戶遭駭的報告，但為了保險起見，GitLab於修補當天已主動重設特定用戶的密碼，另也釋出一個腳本程式以讓管理人員得以辨識哪些使用者帳號受到CVE-2022-1162漏洞影響。

目前約有逾10萬個組織採用GitLab的DevOps平臺，其全球註冊用戶超過3,000萬個。