gitlab修理的關(guān)鍵缺陷，讓用戶登錄作為管理員.遠(yuǎn)程控制軟件,遠(yuǎn)程監(jiān)控軟件

admin

gitlab修理的關(guān)鍵缺陷，讓用戶登錄作為管理員.遠(yuǎn)程控制軟件,遠(yuǎn)程監(jiān)控軟件
的修復(fù)可用于所有支持的版本GitLab Community Edition和GitLab企業(yè)版

GitLab修補(bǔ)多個特權(quán)升級缺陷,跨站點腳本漏洞、信息披露漏洞在開源和商業(yè)版本的自主管理體制Git存儲庫。最引人注目的是一個嚴(yán)重的身份驗證的缺陷,使得用戶作為其他用戶登錄。
關(guān)鍵弱點是GitLab的“模仿”功能(cve - 2016 - 4340),這是在GitLab 8.2中引入的,讓管理員模擬作為另一個用戶登錄。然而,功能沒有妥善保護(hù),所以任何身份驗證的用戶可以作為另一個用戶登錄,即使是管理員,GitLab在其安全顧問說。這個問題被發(fā)現(xiàn)作為一個內(nèi)部代碼審查的一部分。
“我認(rèn)為這最嚴(yán)重的弱點我們到目前為止,“Douwe Maan,GitLab開發(fā)負(fù)責(zé)人,在內(nèi)部問題跟蹤器寫道。
版本8.7,通過8.6.7 8.6.0 8.5.0通過8.5.11 8.4.0通過8.4.9 8.3.0 8.3.8,8.2.0通過8.2.4 CE(Community Edition)和EE(企業(yè)版)的影響。所有設(shè)施都應(yīng)該升級到版本8.7.1,8.6.8,8.5.12,8.4.10,8.3.9,8.2.5盡快。
管理員不能馬上升級服務(wù)器安裝可以使用一個方法來關(guān)閉模擬。有建議保護(hù)裝置使用捆綁Nginix Web服務(wù)器,外部Web服務(wù)器,HAProxy配置,或補(bǔ)丁。
特權(quán)升級缺陷在筆記中API將允許攻擊者發(fā)送一個特別制作的請求GitLab API和post筆記合并請求,片段和未經(jīng)許可的問題。攻擊者能夠工藝請求從一個項目筆記和其他對象添加到受害者的私人項目。
“這個漏洞可以用來嚇唬人,因為它看起來像未經(jīng)授權(quán)的用戶訪問問題,代碼片段,或合并請求,“GitLab開發(fā)者羅伯特Speicher寫道。
其他特權(quán)升級缺陷項目webhook API允許攻擊者刪除和閱讀人則對所有項目GitLab實例。攻擊者可以將API請求發(fā)送到目標(biāo)項目從一個項目時,他們自己的子資源的訪問�！斑@是一個壞的脆弱性,因為這些人則包含私人(API)令牌在大多數(shù)情況下,“Speicher指出。
固定在四個XSS漏洞,可能會使攻擊者執(zhí)行任意JavaScript和竊取受害者的API牌為了接管該帳戶。API的令牌可以用來訪問用戶的項目,當(dāng)用戶執(zhí)行操作,獲得潛在的機(jī)密信息存儲在這個項目。這四個信息披露缺陷也暴露出私人項目信息,包括一個私人片段上傳到公共項目通過GitLab API被泄露。
“看來,私人片段可以用來持有私人(API)令牌或類似的機(jī)密信息。這會嚴(yán)重?fù)p害公司根據(jù)什么樣的信息是共享的,”根據(jù)缺陷的描述。
用戶在GitLab.com上項目不必?fù)?dān)心公司負(fù)責(zé)維護(hù)平臺。管理員管理GitLab CE或者GitLab EE安裝在自己的硬件上,立即GitLab建議更新到最新版本,特別是因為模擬缺陷非常嚴(yán)重。