本文来自极狐GitLab 官方公众号【极狐GitLab】，原文链接：https://mp.weixin.qq.com/s/JVpA14HHWgt58s3vM5TRcA。

GitLab 是一个全球知名的一体化 DevOps 平台，很多人都通过私有化部署 GitLab 来进行源代码托管。极狐GitLab ：https://gitlab.cn/install?channel=content&utm_source=csdn 是 GitLab 在中国的发行版，专门为中国程序员服务。可以一键式部署极狐GitLab。

关联阅读

• 极狐GitLab 定期升级的五大理由

如果您想升级您的GitLab/极狐GitLab，欢迎查看极狐GitLab 安装官网。页面最下方有升级指南以及联系我们的方式。

如果出现问题，可以点击上面的联系我们跟我们进行交流，也可以通过极狐GitLab 官网官网首页右侧悬浮窗的联系方式跟我们进行交流。

更多关于极狐GitLab ：https://gitlab.cn 或者 DevOps 的最佳实践，可以关注文末的极狐GitLab 公众号。

漏洞概述

2022 年 3 月 31 日 GitLab Inc. 官方发布安全更新，披露了 CVE-2022-1162 安全漏洞，通过 OmniAuth provider（如：OAuth, LDAP, SAML）注册登录 GitLab 的用户会被设置一个硬编码的密码，从而允许攻击者通过该硬编码密码登录并接管用户的账号。

• 漏洞详情 CVE-2022-1162（https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-1162）
• GitLab Inc.官方安全更新补丁GitLab Critical Security Release: 14.9.2, 14.8.5, and 14.7.7（https://about.gitlab.com/releases/2022/03/31/critical-security-release-gitlab-14-9-2-released/）

漏洞CVE-2021-22205影响范围

CVE-2022-1162 影响范围从 Gitlab 14.7 开始，影响范围为如下版本：

• 14.7 <= GitLab（CE/EE/JH）< 14.7.7
• 14.8 <= GitLab（CE/EE/JH）< 14.8.5
• 14.9 <= GitLab（CE/EE/JH）< 14.9.2

漏洞出处

该漏洞最初由 GitLab Inc. 内部员工发现。

漏洞问题根因

在受到影响的 GitLab 版本中，通过 OmniAuth provider 注册登录 GitLab 的用户账号会被设置一个硬编码的密码，攻击者可通过该硬编码密码结合用户的账号名登录 GitLab 并接管该账号。

漏洞问题解决

对于GitLab/极狐GitLab 私有化部署版的用户，通过将原有的GitLab CE/EE/JH升级至极狐GitLab 14.7.7、14.8.5、14.9.2 版本即可修复该漏洞。然后按照步骤重置受影响账号的密码。

使用 Omnibus 安装部署的实例，升级详情可以查看极狐GitLab 安装包安装升级文档。

使用 Docker 安装部署的实例，可使用如下三个容器镜像将产品升级到上述三个版本：

• registry.gitlab.cn/omnibus/gitlab-jh:14.7.7
• registry.gitlab.cn/omnibus/gitlab-jh:14.8.5
• registry.gitlab.cn/omnibus/gitlab-jh:14.9.2

升级详情可以查看极狐GitLab Docker 安装升级文档 。

使用云原生安装的实例，可将使用的 Helm Chart 升级到 5.7.7(对应 14.7.7）、5.8.5（对应 14.8.5）以及 5.9.2（对应 14.9.2）来修复该漏洞。升级详情可以查看 Helm Chart 安装升级文档。

对于 SaaS 用户（jihulab.com），无需进行任何操作，我们已经升级 SaaS 以修复该漏洞，并对可能受到该漏洞影响的用户进行了密码重置。

极狐GitLab技术支持

极狐技术支持团队为极狐GitLab 付费客户（专业版/旗舰版）提供全面的技术支持。极狐GitLab技术团队提供的服务有：

• 将协助您进行系统升级(Omnibus、Docker、Helm部署方式均可)
• 及时响应客户反馈，快速处理各种问题，我们的SLA 可参考：极狐GitLab技术支持SLA
• 一体化DevOps平台构建与方案优化
• 帮助您更加安全高效地使用极狐GitLab
• 协助您集成第三方软件平台
• 提供优化极狐GitLab的技术咨询，并得到本地化的极狐GitLab专业技术支持

您可以通过 https://support.gitlab.cn/#/portal/myticket 联系极狐技术支持团队寻求帮助。

此外，欢迎大家登录极狐GitLab论坛来学习交流 与DevOps、开源、远程办公等相关的内容。任何问题，我们都有专业的人员为你解答。

学习极狐GitLab 的相关资料：

1. 极狐GitLab 官网：https://gitlab.cn
2. 极狐GitLab 官网文档：https://docs.gitlab.cn
3. 极狐GitLab 论坛：https://forum.gitlab.cn/
4. 极狐GitLab 安装配置：https://gitlab.cn/install
5. 极狐GitLab 资源中心：https://resources.gitlab.cn

搜索【极狐GitLab】公众号，后台输入加群，备注gitlab，即可加入官方微信技术交流群。