GitLab 严重漏洞可用于接管用户账户
编译:代码卫士
该漏洞是由在GitLab CE版和EE版基于 OmniAuth 注册过程中偶然设置的静态密码造成的,影响的 CE 和 EE 版本是早于14,7,7的14,7版本、早于14.8.5的14.8版本以及早于14.9.2的14.9版本。该漏洞可用于接管用户账户。GitLab 督促用户立即将所有GitLab 版本更新至最新版即14.9.2、14.8.5或14.7.7版本。
从两天前提交的代码commit来看,GitLab 删除了 “lib/gitlab/password.rb” 文件。该文件用于向“TEST_DEFAULT”常数分配弱硬编码密码。
GitLab 表示已经为一些GitLab.com 用户重置了密码,缓解该漏洞。另外尚未发现该漏洞遭利用的迹象。GitLab 并未透露影响的用户数量。
虽然GitLab 表示目前并未有用户账户被攻陷,但仍然创建了脚本供自管理实例管理员用于识别可能受影响的用户账户,并提醒他们重置密码。
GitLab 指出目前超过10万家组织机构都在使用其 DevOps 平台,预计遍布66个国家的3000多万名注册用户都在使用它。
GitLab 严重漏洞可导致攻击者窃取runner 注册令牌
https://www.bleepingcomputer.com/news/security/critical-gitlab-vulnerability-lets-attackers-take-over-accounts/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。