|
gitlab修理的关键缺陷,让用户登录作为管理员.远程控制软件,远程监控软件
的修复可用于所有支持的版本GitLab Community Edition和GitLab企业版
GitLab修补多个特权升级缺陷,跨站点脚本漏洞、信息披露漏洞在开源和商业版本的自主管理体制Git存储库。最引人注目的是一个严重的身份验证的缺陷,使得用户作为其他用户登录。
关键弱点是GitLab的“模仿”功能(cve - 2016 - 4340),这是在GitLab 8.2中引入的,让管理员模拟作为另一个用户登录。然而,功能没有妥善保护,所以任何身份验证的用户可以作为另一个用户登录,即使是管理员,GitLab在其安全顾问说。这个问题被发现作为一个内部代码审查的一部分。
“我认为这最严重的弱点我们到目前为止,“Douwe Maan,GitLab开发负责人,在内部问题跟踪器写道。
版本8.7,通过8.6.7 8.6.0 8.5.0通过8.5.11 8.4.0通过8.4.9 8.3.0 8.3.8,8.2.0通过8.2.4 CE(Community Edition)和EE(企业版)的影响。所有设施都应该升级到版本8.7.1,8.6.8,8.5.12,8.4.10,8.3.9,8.2.5尽快。
管理员不能马上升级服务器安装可以使用一个方法来关闭模拟。有建议保护装置使用捆绑Nginix Web服务器,外部Web服务器,HAProxy配置,或补丁。
特权升级缺陷在笔记中API将允许攻击者发送一个特别制作的请求GitLab API和post笔记合并请求,片段和未经许可的问题。攻击者能够工艺请求从一个项目笔记和其他对象添加到受害者的私人项目。
“这个漏洞可以用来吓唬人,因为它看起来像未经授权的用户访问问题,代码片段,或合并请求,“GitLab开发者罗伯特Speicher写道。
其他特权升级缺陷项目webhook API允许攻击者删除和阅读人则对所有项目GitLab实例。攻击者可以将API请求发送到目标项目从一个项目时,他们自己的子资源的访问。“这是一个坏的脆弱性,因为这些人则包含私人(API)令牌在大多数情况下,“Speicher指出。
固定在四个XSS漏洞,可能会使攻击者执行任意JavaScript和窃取受害者的API牌为了接管该帐户。API的令牌可以用来访问用户的项目,当用户执行操作,获得潜在的机密信息存储在这个项目。这四个信息披露缺陷也暴露出私人项目信息,包括一个私人片段上传到公共项目通过GitLab API被泄露。
“看来,私人片段可以用来持有私人(API)令牌或类似的机密信息。这会严重损害公司根据什么样的信息是共享的,”根据缺陷的描述。
用户在GitLab.com上项目不必担心公司负责维护平台。管理员管理GitLab CE或者GitLab EE安装在自己的硬件上,立即GitLab建议更新到最新版本,特别是因为模拟缺陷非常严重。 |
|