GitLab在3月31日发布安全更新,主要是为了修补可被黑客接管账号的CVE-2022-1162重大安全漏洞。
CVE-2022-1162是因用户采用OmniAuth进行注册时,无意间设成静态密码所造成的安全漏洞,将允许黑客接管用户账号,其CVSS风险等级高达9.1。不管是OAuth、LDAP或SAML皆属OmniAuth供应商,同时波及GitLab Community Edition(CE)与GitLab Enterprise Edition(EE)的14.7至14.7.6、14.8至14.8.4及14.9至14.9.1版本,GitLab已发布CE与EE的14.7.7、14.8.5与14.9.2来修补该漏洞,并修补了其它十多个安全漏洞,也强烈建议所有用户立即升级到最新版。
幸好CVE-2022-1162是由GitLab内部团队所发现,虽然尚未接获任何用户遭黑的报告,但为了保险起见,GitLab于修补当天已主动重设特定用户的密码,另也发布一个脚本程序以让管理人员得以识别哪些用户账号受到CVE-2022-1162漏洞影响。
目前约有超过10万个组织采用GitLab的DevOps平台,其全球注册用户超过3,000万个。