Описание
Уязвимость функции импорта из GitHub программной платформы на базе git для совместной работы над кодом GitLab связана с недостаточной проверкой входных данных. Эксплуатация уязвимости может позволить нарушителю выполнить произвольный код в целевой системе
Вендор
GitLab Inc.
Наименование ПО
Gitlab
Версия ПО
от 11.3.4 до 15.1.5 (Gitlab)
от 15.2 до 15.2.3 (Gitlab)
от 15.3 до 15.3.1 (Gitlab)
Тип ПО
Сетевое программное средство
Операционные системы и аппаратные платформы
-
Уровень опасности уязвимости
Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,9)
Возможные меры по устранению уязвимости
Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры.
Войдите в систему с помощью учетной записи администратора и выполните следующие действия:
1) нажмите «Menu» - «Admin»;
2) нажмите «Settings» - «General»;
3) разверните вкладку «Visibility and access controls»;
4) в разделе «Import sources» отключите опцию «GitHub»;
5) нажмите «Save changes».
Проверка временного решения:
1) в окне браузера войдите в систему как любой пользователь;
2) нажмите «+» на верхней панели;
3) нажмите «New project/repository»;
4) нажмите «Import project»;
5) убедитесь, что «GitHub» не отображается как параметр импорта.
Использование рекомендаций производителя:
https://about.gitlab.com/releases/2022/08/22/critical-security-release-gitlab-15-3-1-released/
Статус уязвимости
Подтверждена производителем
Наличие эксплойта
Данные уточняются
Информация об устранении
Уязвимость устранена
9.9 Critical
CVSS3
10 Critical
CVSS2
9.9 Critical
CVSS3
10 Critical
CVSS2