【安全狗漏洞通告】Gitlab 硬编码漏洞解决方案

近日，安全狗应急响应中心监测到Gitlab官方发布安全通告，披露了其Gitlab产品存在硬编码漏洞。漏洞编号CVE-2022-1162。

漏洞描述

GitLab 是一个用于代码仓库管理系统的开源项目，使用Git作为代码管理工具，并在此基础上搭建起来的Web服务。

据官方描述，系统会默认给使用了 OmniAuth 程序（例如 OAuth、LDAP、SAML）注册的帐户设置一个硬编码密码，从而允许攻击者可直接通过该硬编码密码登录并接管帐户。

安全通告信息

漏洞名称	Gitlab 硬编码漏洞
漏洞影响版本	Gitlab CE/EE >=14.7, <14.7.7 Gitlab CE/EE >=14.8, <14.8.5 Gitlab CE/EE >=14.9, <14.9.2
漏洞危害等级	高危
厂商是否已发布漏洞补丁	是
版本更新地址	https://gitlab.com/gitlab-org/cves/-/blob/master/2022/CVE-2022-1162.json
安全狗总预警期数	216
安全狗发布预警日期	2022年4月7日
安全狗更新预警日期	2022年4月7日
发布者	安全狗海青实验室

处置措施

安全建议

目前这些漏洞已经修复，可及时升级到安全版本。

【备注】：建议您在升级前做好数据备份工作，避免出现意外

参考连接

https://about.gitlab.com/releases/2022/03/31/critical-security-release-gitlab-14-9-2-released/#static-passwords-inadvertently-set-during-omniauth-based-registration

https://gitlab.com/gitlab-org/cves/-/blob/master/2022/CVE-2022-1162.json