|
|
gitlab修理的關(guān)鍵缺陷����,讓用戶登錄作為管理員.遠(yuǎn)程控制軟件,遠(yuǎn)程監(jiān)控軟件
的修復(fù)可用于所有支持的版本GitLab Community Edition和GitLab企業(yè)版
1.jpg (33.9 KB, 下載次數(shù): 599)
下載附件
2016-5-7 18:36 上傳
GitLab修補(bǔ)多個特權(quán)升級缺陷,跨站點(diǎn)腳本漏洞�����、信息披露漏洞在開源和商業(yè)版本的自主管理體制Git存儲庫。最引人注目的是一個嚴(yán)重的身份驗(yàn)證的缺陷,使得用戶作為其他用戶登錄�����。
關(guān)鍵弱點(diǎn)是GitLab的“模仿”功能(cve - 2016 - 4340),這是在GitLab 8.2中引入的,讓管理員模擬作為另一個用戶登錄��。然而,功能沒有妥善保護(hù),所以任何身份驗(yàn)證的用戶可以作為另一個用戶登錄,即使是管理員,GitLab在其安全顧問說����。這個問題被發(fā)現(xiàn)作為一個內(nèi)部代碼審查的一部分。
“我認(rèn)為這最嚴(yán)重的弱點(diǎn)我們到目前為止,“Douwe Maan,GitLab開發(fā)負(fù)責(zé)人,在內(nèi)部問題跟蹤器寫道��。
版本8.7,通過8.6.7 8.6.0 8.5.0通過8.5.11 8.4.0通過8.4.9 8.3.0 8.3.8,8.2.0通過8.2.4 CE(Community Edition)和EE(企業(yè)版)的影響����。所有設(shè)施都應(yīng)該升級到版本8.7.1,8.6.8,8.5.12,8.4.10,8.3.9,8.2.5盡快。
管理員不能馬上升級服務(wù)器安裝可以使用一個方法來關(guān)閉模擬����。有建議保護(hù)裝置使用捆綁Nginix Web服務(wù)器,外部Web服務(wù)器,HAProxy配置,或補(bǔ)丁。
特權(quán)升級缺陷在筆記中API將允許攻擊者發(fā)送一個特別制作的請求GitLab API和post筆記合并請求,片段和未經(jīng)許可的問題�����。攻擊者能夠工藝請求從一個項(xiàng)目筆記和其他對象添加到受害者的私人項(xiàng)目。
“這個漏洞可以用來嚇唬人,因?yàn)樗雌饋硐裎唇?jīng)授權(quán)的用戶訪問問題,代碼片段,或合并請求,“GitLab開發(fā)者羅伯特Speicher寫道�����。
其他特權(quán)升級缺陷項(xiàng)目webhook API允許攻擊者刪除和閱讀人則對所有項(xiàng)目GitLab實(shí)例����。攻擊者可以將API請求發(fā)送到目標(biāo)項(xiàng)目從一個項(xiàng)目時(shí),他們自己的子資源的訪問������!斑@是一個壞的脆弱性,因?yàn)檫@些人則包含私人(API)令牌在大多數(shù)情況下,“Speicher指出。
固定在四個XSS漏洞,可能會使攻擊者執(zhí)行任意JavaScript和竊取受害者的API牌為了接管該帳戶�����。API的令牌可以用來訪問用戶的項(xiàng)目,當(dāng)用戶執(zhí)行操作,獲得潛在的機(jī)密信息存儲在這個項(xiàng)目��。這四個信息披露缺陷也暴露出私人項(xiàng)目信息,包括一個私人片段上傳到公共項(xiàng)目通過GitLab API被泄露����。
“看來,私人片段可以用來持有私人(API)令牌或類似的機(jī)密信息。這會嚴(yán)重?fù)p害公司根據(jù)什么樣的信息是共享的,”根據(jù)缺陷的描述�����。
用戶在GitLab.com上項(xiàng)目不必?fù)?dān)心公司負(fù)責(zé)維護(hù)平臺。管理員管理GitLab CE或者GitLab EE安裝在自己的硬件上,立即GitLab建議更新到最新版本,特別是因?yàn)槟M缺陷非常嚴(yán)重��。 |
|
加載中...
發(fā)表于 2016-5-7 18:36:36
收藏