GitLab 也受到 GitHub 安全漏洞的影响

关键要点

• GitLab 受到与 GitHub 类似的安全漏洞影响，允许恶意软件传播。
• 利用 GitLab 的评论功能，攻击者可以上传看似来自可信开源项目的文件。
• 该漏洞可能被用于引诱用户下载恶意软件。
• GitLab、微软和 GitHub 已被通知这项缺陷，但尚未发出回应。

根据 的报告，开源 DevOps软件项目 GitLab 也受到了一个与 评论相关的安全问题的影响，该问题被威胁行为者利用，通过与微软代码库相关的 URL来促进恶意软件的传播。这些恶意软件看似来自可信实体的官方源代码库。

BleepingComputer 指出，恶意者借助 GitLab 的评论功能，使得能够上传可能出现在 Wireshark、Inkscape以及其他广泛使用的开源项目中的文件。此外，即使评论未发布或被删除，生成的 GitLab 文件仍将存在于系统中，这一行为大大增加了安全隐患。

这些发现突显出与此漏洞相关的高风险，威胁行为者可能利用此漏洞来诱导目标用户下载包含恶意软件的伪装软件或其他表面上看似可信的软件。目前，GitLab、微软和 GitHub 已被告知这一缺陷，但尚未给出任何评论。

进一步建议： 建议用户在下载软件时务必核实源头，尤其是与开源项目相关的文件，并加强对恶意软件的防范意识。