gitlab修理的關(guān)鍵缺陷，讓用戶登錄作為管理員.遠(yuǎn)程控制軟件,遠(yuǎn)程監(jiān)控軟件

admin

gitlab修理的關(guān)鍵缺陷，讓用戶登錄作為管理員.遠(yuǎn)程控制軟件,遠(yuǎn)程監(jiān)控軟件
的修復(fù)可用于所有支持的版本GitLab Community Edition和GitLab企業(yè)版

GitLab修補(bǔ)多個(gè)特權(quán)升級(jí)缺陷,跨站點(diǎn)腳本漏洞、信息披露漏洞在開(kāi)源和商業(yè)版本的自主管理體制Git存儲(chǔ)庫(kù)。最引人注目的是一個(gè)嚴(yán)重的身份驗(yàn)證的缺陷,使得用戶作為其他用戶登錄。
關(guān)鍵弱點(diǎn)是GitLab的“模仿”功能(cve - 2016 - 4340),這是在GitLab 8.2中引入的,讓管理員模擬作為另一個(gè)用戶登錄。然而,功能沒(méi)有妥善保護(hù),所以任何身份驗(yàn)證的用戶可以作為另一個(gè)用戶登錄,即使是管理員,GitLab在其安全顧問(wèn)說(shuō)。這個(gè)問(wèn)題被發(fā)現(xiàn)作為一個(gè)內(nèi)部代碼審查的一部分。
“我認(rèn)為這最嚴(yán)重的弱點(diǎn)我們到目前為止,“Douwe Maan,GitLab開(kāi)發(fā)負(fù)責(zé)人,在內(nèi)部問(wèn)題跟蹤器寫(xiě)道。
版本8.7,通過(guò)8.6.7 8.6.0 8.5.0通過(guò)8.5.11 8.4.0通過(guò)8.4.9 8.3.0 8.3.8,8.2.0通過(guò)8.2.4 CE(Community Edition)和EE(企業(yè)版)的影響。所有設(shè)施都應(yīng)該升級(jí)到版本8.7.1,8.6.8,8.5.12,8.4.10,8.3.9,8.2.5盡快。
管理員不能馬上升級(jí)服務(wù)器安裝可以使用一個(gè)方法來(lái)關(guān)閉模擬。有建議保護(hù)裝置使用捆綁Nginix Web服務(wù)器,外部Web服務(wù)器,HAProxy配置,或補(bǔ)丁。
特權(quán)升級(jí)缺陷在筆記中API將允許攻擊者發(fā)送一個(gè)特別制作的請(qǐng)求GitLab API和post筆記合并請(qǐng)求,片段和未經(jīng)許可的問(wèn)題。攻擊者能夠工藝請(qǐng)求從一個(gè)項(xiàng)目筆記和其他對(duì)象添加到受害者的私人項(xiàng)目。
“這個(gè)漏洞可以用來(lái)嚇唬人,因?yàn)樗�看起�?lái)像未經(jīng)授權(quán)的用戶訪問(wèn)問(wèn)題,代碼片段,或合并請(qǐng)求,“GitLab開(kāi)發(fā)者羅伯特Speicher寫(xiě)道。
其他特權(quán)升級(jí)缺陷項(xiàng)目webhook API允許攻擊者刪除和閱讀人則對(duì)所有項(xiàng)目GitLab實(shí)例。攻擊者可以將API請(qǐng)求發(fā)送到目標(biāo)項(xiàng)目從一個(gè)項(xiàng)目時(shí),他們自己的子資源的訪問(wèn)�！斑@是一個(gè)壞的脆弱性,因?yàn)檫@些人則包含私人(API)令牌在大多數(shù)情況下,“Speicher指出。
固定在四個(gè)XSS漏洞,可能會(huì)使攻擊者執(zhí)行任意JavaScript和竊取受害者的API牌為了接管該帳戶。API的令牌可以用來(lái)訪問(wèn)用戶的項(xiàng)目,當(dāng)用戶執(zhí)行操作,獲得潛在的機(jī)密信息存儲(chǔ)在這個(gè)項(xiàng)目。這四個(gè)信息披露缺陷也暴露出私人項(xiàng)目信息,包括一個(gè)私人片段上傳到公共項(xiàng)目通過(guò)GitLab API被泄露。
“看來(lái),私人片段可以用來(lái)持有私人(API)令牌或類似的機(jī)密信息。這會(huì)嚴(yán)重?fù)p害公司根據(jù)什么樣的信息是共享的,”根據(jù)缺陷的描述。
用戶在GitLab.com上項(xiàng)目不必?fù)?dān)心公司負(fù)責(zé)維護(hù)平臺(tái)。管理員管理GitLab CE或者GitLab EE安裝在自己的硬件上,立即GitLab建議更新到最新版本,特別是因?yàn)槟�擬缺陷非常嚴(yán)重。