CVE-2022-2884 - Remote Command Execution via Github import

Severity: Critical

CVSS Score: AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H, 9.9

Ngày 22 tháng 8 năm 2022, GitLab vừa phát hành các bản vá: 15.3.1, 15.2.3, 15.1.5 cho GitLab Community Edition (CE) và GitLab Enterprise Edition (EE).

Các phiên bản này bao gồm các bản sửa lỗi bảo mật quan trọng giúp phòng tránh việc khai thác CVE-2022-2884: GitLab Remote Command Execution via Github import.

Thông tin về CVE-2022-2884:

Mô tả:

Lỗ hổng trong GitLab CE/EE trong tất cả các phiên bản bị ảnh hưởng cho phép một người dùng đã xác thực có khả năng thực thi mã từ xa thông qua hành động Import từ GitHub API endpoint.

Lỗ hổng được báo cáo bởi nhà nghiên cứu bảo mật “yvvdwf” qua chương trình Bug Bounty của HackerOne.

Các phiên bản bị ảnh hưởng:

11.3.4 =< Gitlab CE/EE < 15.1.5
15.2 =< Gitlab CE/EE < 15.2.3
15.3 =< Gitlab CE/EE < 15.3.1

Các phiên bản không bị ảnh hưởng:

Gitlab CE/EE 15.1.5
Gitlab CE/EE 15.2.3
Gitlab CE/EE 15.3.1

Khuyến nghị:

Nâng cấp các bản GitLab bị ảnh hưởng như trên tới phiên bản mới nhất (15.1.5, 15.2.3, 15.3.1) sớm nhất có thể.

Update GitLab: tham khảo Update page: https://about.gitlab.com/update/

Update GitLab Runner: tham khảo: https://docs.gitlab.com/runner/install/linux-repository.html?_gl=1*1s5q9sr*_ga*MTY4ODU0NjgxMS4xNjU5ODQ2Nzk1*_ga_ENFH3X7M5Y*MTY2MTMyODUyOS4yLjEuMTY2MTMyOTQ0Mi4wLjAuMA..#updating-the-runner

Đối với các hệ thống chưa thể nâng cấp, cần thực hiện theo các khuyến nghị tạm thời để bảo vệ GitLab:

Disable GitHub import:

Click "Menu" -> "Admin".

Click "Settings" -> "General".

Mở tab "Visibility and access controls".

Dưới "Import sources", disable tuỳ chọn "GitHub":
5. Click "Save changes".

Kiểm tra lại:

Click "+" ở thanh trên cùng.

Click "New project/repository".

Click "Import project".

Kiểm tra lại không thể import với option "GitHub”:

Trước khi disable:
Sau khi disable:

Tham khảo:

https://about.gitlab.com/releases/2022/08/22/critical-security-release-gitlab-15-3-1-released/