记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

GitLab 修复了 CE、EE 版本中一个远程代码执行漏洞

近期,Security Affairs 网站披露,DevOps 平台 GitLab 修复了其社区版(CE)和企业版(EE)中出现的一个关键远程代码执行漏洞,该漏洞被追踪为 CVE-2022-2884(CVSS 评分 9.9)。 据悉,攻击者经过“身份验证”后,可以通过 GitHub 导入 API 利用该漏洞。目前 DevOps 平台 GitLab 已经发布了安全更新,修复了这一影响其 GitLab 社区版(CE)和企业版(EE)的关键远程代码执行漏洞。
发布时间:2022-08-24 19:55 | 阅读:210035 | 评论:0 | 标签:安全快讯 漏洞 Gitlab 远程 执行 远程代码执行

GitLab远程代码执行漏洞风险提示(CVE-2022-2884) — vulsee.com

漏洞公告 近日,安恒信息CERT监测到GitLab官方发布了安全公告,修复了GitLab社区版(CE)和企业版(EE)中的一个远程代码执行漏洞(CVE-2022-2884),CVSS评分9.9,该漏洞允许经过身份验证的用户通过从GitHub API端点导入方式实现远程代码执行,成功利用此漏洞的攻击者可获得服务器权限。目前官方已发布安全版本,建议受影响的用户尽快采取安全措施。
发布时间:2022-08-24 02:35 | 阅读:226347 | 评论:0 | 标签:业界快讯 CVE-2022-2884 GitLab 远程代码执行漏洞 漏洞 CVE 远程 执行 VulSee.com

GitLab远程代码执行漏洞风险提示(CVE-2022-2185) — vulsee.com

漏洞公告 近日,安恒信息 CERT 监测到 GitLab 官方发布了安全公告,修复了 GitLab 社区版(CE)和企业版(EE)中的一个远程代码执行漏洞(CVE-2022-2185),CVSS 评分 9.9,该漏洞源于授权用户可以导入恶意制作的项目导致远程代码执行,成功利用此漏洞的攻击者可获得服务器权限。目前官方已发布安全版本,建议受影响的用户尽快采取安全措施。
发布时间:2022-07-05 02:40 | 阅读:344715 | 评论:0 | 标签:Application CVE CVE-2022-2185 GitLab release 全版本 安恒信息 攻击者 未公

GitLab多个高危漏洞通告

阅读:80一、漏洞概述2022年7月1日,绿盟科技CERT监测到GitLab官方发布安全公告,修复了GitLab社区版(CE)和企业版(EE)中的多个安全漏洞,请相关用户尽快采取措施进行防护。GitLab 远程代码执行漏洞(CVE-2022-2185):GitLab社区版(CE)和企业版(EE)中存在一个远程代码执行漏洞,经过身份验证的攻击者通过利用该漏洞导入恶意项目,最终可实现在目标服务器上执行任意代码。CVSS评分为9.9。
发布时间:2022-07-01 18:07 | 阅读:193552 | 评论:0 | 标签:威胁通告 GitLab 安全漏洞 漏洞

有哪些常见的CI/CD 自动化工具?

CI/CD代表持续集成和持续交付/持续部署。也就是说,CI部分处理如何在不同阶段将代码与不同的分支合并,CD部分处理如何将构建的应用程序部署到部署服务器中。 在为软件开发工作流程选择CI/CD 服务器时需要注意以下几点: 易于安装和配置 与其他问题跟踪工具和版本控制工具集成 安全性和合规性 价格 接下来介绍几款常见的CI/CD工具,以及每种工具的使用场景。 Jenkins Jenkins是领先的开源自动化服务器,可以协助软件自动化开发中与构建、测试和部署相关的工作(反过来,促进CI/CD)。是由Kohsuke_Kawaguchi创建的。
发布时间:2022-06-09 11:45 | 阅读:207692 | 评论:0 | 标签:Bitbucket管道 cd CI CI/CD github gitlab Jenkins Travis CI 自动化工

GitLab 远程命令执行漏洞(CVE-2021-22205)

阅读:49一、漏洞概述近日,绿盟科技监测到有研究人员披露了GitLab 远程命令执行漏洞(CVE-2021-22205)的利用程序,且发现由于GitLab存在未授权的端点,导致该漏洞在无需进行身份验证的情况下即可进行利用,社区版(CE)和企业版(EE)皆受影响。4月15日,GitLab官方发布安全更新修复了此GitLab命令执行漏洞(CVE-2021-22205),由于GitLab中的ExifTool没有对传入的图像文件的扩展名进行正确处理,攻击者通过上传特制的恶意图片,可以在目标服务器上执行任意命令。CVSS评分为9.9,目前已发现在野利用,请相关用户尽快采取措施进行防护。
发布时间:2021-10-28 18:55 | 阅读:174740 | 评论:0 | 标签:威胁通告 CVE-2021-22205 GitLab 漏洞 CVE 远程 执行

导致数据库凭据泄露:详细分析Jenkins Swarm、Ansible、GitLab插件信息泄露漏洞(CVE-2019-10309/10300/10310)

一、概述Jenkins是一个用Java编写的开源自动化服务器。借助一些插件,可以将Jenkins与其他软件集成,例如GitLab。5月7日,Cisco Talos团队公开了其中三个插件的漏洞,这三个插件分别是Swarm、Ansible和GitLab。这些插件中的漏洞均属于信息泄露类型,攻击者借助这些漏洞,可能欺骗上述插件,将Jenkins数据库中的凭据泄露至攻击者控制的服务器。根据我们的协调漏洞披露政策,Cisco Talos与Jenkins及相关公司进行了合作,以确保这些问题得以彻底解决,并为受影响的客户提供更新。
发布时间:2019-05-08 12:25 | 阅读:316300 | 评论:0 | 标签:业务安全 漏洞 Ansible GitLab Jenkins Swarm

【漏洞预警】GitLab曝高危漏洞,可致private token等敏感信息泄露

GitLab于昨日发布了8.17.4、8.16.8和8.15.8版本(社区版和企业版),修复多个高危漏洞,包含一个针对关键信息泄露漏洞的更新补丁,针对SSRF攻击的防护,以及针对可导致Atom源中私有邮件地址泄露漏洞的补丁,ElasticSearch中私有库数据泄露的补丁等。 GitLab特别在其更新日志中提到,在内部代码审核过程中,在GitLab Issue和Merge Request tracker中发现一个Critical级别的高危漏洞,并因此强烈建议受影响用户尽快升级。
发布时间:2017-03-21 19:30 | 阅读:228952 | 评论:0 | 标签:漏洞 Gitlab

【漏洞预警】GitLab未授权访问漏洞可导致远程命令执行

GitLab是一个利用Ruby on Rails开发的开源应用程序,实现一个自托管的Git项目仓库,可通过Web界面进行访问公开的或者私人项目。2016年11月3日,美国众测平台HackerOne公布了GitLab的目录遍历漏洞。漏洞的发现者为Jobert Abma,同时表示该漏洞可导致远程命令执行。 漏洞预览 从GitLab 8.9开始,GitLab允许用户导入或者导出他们的TAR文件。在8.13.0版本之前,这个功能是只有管理员才可以使用。8.13.0版本之后,这个功能开放给的用户进行使用,只要有管理员许可。
发布时间:2016-11-05 00:50 | 阅读:199896 | 评论:0 | 标签:漏洞 系统安全 Gitlab 未授权访问 远程命令执行

Gogs:一个比gitlab更好用的代码托管平台

Gogs 的目标是打造一个最简单、最快速和最轻松的方式搭建自助 Git 服务。使用 Go 语言开发使得 Gogs 能够通过独立的二进制分发,并且支持 Go 语言支持的 所有平台,包括 Linux、Mac OS X、Windows 以及 ARM 平台。
发布时间:2016-02-23 16:35 | 阅读:264430 | 评论:0 | 标签:工具 Gitlab

黑帝公告 📢

十年经营持续更新精选优质黑客技术文章Hackdig,帮你成为掌握黑客技术的英雄

🙇🧎营运续持们我助帮↓

标签云 ☁