数据导入机制未能消毒导入
GitLab中的脆弱性使攻击者能够对GitLab服务器进行各种攻击,包括云托管的Gitlab.com平台。
这漏洞,安全研究人员报道yvvdwf’,是由GitLab从GitHub导入数据的方式引起的,GitHub可以利用该数据在主机服务器上运行命令。
不安全的进口
GitLab使用Octokit,该库提供了从GitHub导入数据的界面API。为了检索并提出其结果,Octokit使用HTTP客户库Sawyer。
但是,Gitlab直接使用了Octokit返回的Sawyer结果,而没有对其进行消毒,这提供了插入恶意命令的机会。
YVVDWF发现,导入函数中使用的参数之一容易针对GitLab的Redis数据库进行注射。
RCE,信息盗窃等等
在独立的gitlab安装上,攻击者可以利用指挥注射错误从redis升级为bash并将命令发送到操作系统。任何潜在的攻击者都将具有远程代码执行(RCE)访问主机特权的主机。
而RCEexploit在gitlab.com上不起作用,yvvdwf能够使用其他redis命令将数据从gitlab.com复制到具有公共IP的独立服务器。他们还能够通过相同的机制毒化Gitlab项目,并使它们无法访问。
具有独立gitlab安装和API访问令牌的攻击者可以使用漏洞利用来窃取信息,注入恶意代码并对gitlab.com执行其他恶意动作。
保护GitLab服务器
分配了漏洞CVE-2022-2884在公共漏洞评分系统中,临界基本得分为9.9。
Gitlab已经在Gitlab.com上修补了该问题,并发布了关键安全发布用于Gitlab社区版和企业版。
建议所有用户升级其GitLab安装。对于无法立即升级的组织,Gitlab建议他们通过禁用导入来确保安装,直到他们可以修补系统为止。
虽然GitLab用户将通过使用云或更新的平台自托版本是安全的,但其他使用Octakit与之互动的服务github应保持警惕,并确保他们围绕传递并通过库接收的数据执行正确的检查。
