GitLab 曝出高危漏洞
Bleeping Computer 网站披露,GitLab 发布了 16.0.1 版紧急安全更新,以解决被追踪为 CVE-2023-2825 的严重性(CVSS v3.1 评分:10.0)路径遍历漏洞。 GitLab 是一个基于网络的 Git 存储库,主要面向需要远程管理代码的开发团队,目前共拥有约 3000 万注册用户和 100 万付费客户。 一位名叫 pwnie 的安全研究员发现 CVE-2023-2825 漏洞,随后在 GitLab 的 HackOne 漏洞奖励计划中报告了这个问题。据悉,该漏洞影响 GitLab社区版(CE)和企业版(EE)的 16.0.0 版本,其它更早的版本几乎都不受影响。 CVE-2023-2825 漏洞详情 CVE-2023-2825 漏洞源于路径遍历问题,当一个附件存在于至少五个组内嵌套的公共项目中时,未经认证的攻击者可以在服务器上读取任意文件。利用 CVE-2023-2825 漏洞还可能会暴露包括专有软件代码、用户凭证、令牌、文件和其他私人信息在内的敏感数据。 以上的先决条件表明 CVE-2023-2825 漏洞问题与 GitLab 如何管理或解决嵌套在几级组层次结构中的附件文件的路径有关。然而由于问题的关键性和发现及时,GitLab 没有披露很多细节,但一再强调用户使用最新安全更新的重要性。 GitLab 在安全公告中表示,强烈建议所有运行受 CVE-2023-2825 漏洞影响版本的装置中尽快升级到最新版本。(当没有提到产品的具体部署类型(总括、源代码、舵手图等)时,意味着所有类型都受到影响。) 值得一提的是,CVE-2023-2825 漏洞只能在特定条件下才会触发,即当公共项目中有一个附件嵌套在至少五个组中时,好在这并不是所有 GitHub 项目遵循的结构。 尽管如此,GitHub 还是建议所有 GitLab 16.0.0 的用户尽快更新到 16.0.1 版本,以降低安全风险。 转自 Freebuf,原文链接:https://www.freebuf.com/news/367499.html 封面来源于网络,如有侵权请联系删除
GitLab 修复了 CE、EE 版本中一个远程代码执行漏洞
近期,Security Affairs 网站披露,DevOps 平台 GitLab 修复了其社区版(CE)和企业版(EE)中出现的一个关键远程代码执行漏洞,该漏洞被追踪为 CVE-2022-2884(CVSS 评分 9.9)。 据悉,攻击者经过“身份验证”后,可以通过 GitHub 导入 API 利用该漏洞。目前 DevOps 平台 GitLab 已经发布了安全更新,修复了这一影响其 GitLab 社区版(CE)和企业版(EE)的关键远程代码执行漏洞。 GitLabCE/EE 多个版本受到漏洞影响 漏洞爆出不久后,GitLab 运营商在发布的安全公告中表示,GitLab CE/EE 中的漏洞(CVE-2022-2884)主要影响11.3.4——15.1.5之间的所有版本,此外,从 15.2 到 15.2.3 的所有版本和15.3 到 15.3.1 的所有版本也受到严重影响。 值得一提的是,运营商在公告中着重强调,CVE-2022-2884 漏洞允许经过“身份认证”的攻击者从 GitHub 导入 API 端点实现远程代码执行,因此强烈建议所有安装了受漏洞影响版本的用户尽快升级到最新版本。 漏洞是否在野被利用尚不清楚 从媒体披露的信息来看,研究人员 yvvdwf 最早发现了 CVE-2022-2884 漏洞,随后通过 HackerOne 漏洞赏金计划,快速报告了该漏洞。 鉴于一些用户无法立即升级到最新版本,GitLab 运营商提供了一个解决方法。建议用户以 “管理员 ”身份认证后,从设置菜单的 “可见性和访问控制 ”标签中禁用 GitHub 的导入功能。 最后,安全研究人员声称,目前尚不清楚 CVE-2022-2884 漏洞是否在野外攻击中被积极利用。 转自 FreeBuf,原文链接:https://www.freebuf.com/news/342725.html 封面来源于网络,如有侵权请联系删除
GitLab 通过安全更新修复了帐户接管高危漏洞
据Bleeping Computer网站6月3日消息,GitLab 为其社区版和企业版产品的多个版本发布了关键安全更新,以解决8个漏洞问题,其中一个为账户接管的高危漏洞。 这个帐户接管漏洞被追踪为 CVE-2022-1680,评分高达 9.9,影响 GitLab 11.10 至 14.9.4、14.10 至 14.10.3 和 15.0版本。控制 GitLab 帐户会带来严重后果,黑客可以访问开发人员的项目并窃取源代码。 根据公司公告,在具有特定配置的实例上可以利用该漏洞,当组SAML SSO被配置时,SCIM 功能(仅适用于 Premium+ 订阅)可能允许 Premium 组的任何所有者通过其用户名和电子邮件邀请任意用户,然后通过 SCIM 将这些用户的电子邮件地址更改为攻击者控制的电子邮件地址,因此,在没有 2FA 的情况下,攻击者能接管这些帐户,还可以更改目标帐户的显示名称和用户名。但若目标帐户上存在双因素身份验证 (2FA) ,则可以减少其滥用的概率。 安全更新的其他7个漏洞包含对另外两个高严重性缺陷的修复,一个是 Jira 集成组件中的跨站点脚本 (XSS) 问题,被跟踪为 CVE-2022-1940;评分为为 7.7;另一个是缺少输入验证漏洞,允许在联系人列表详细信息中注入 HTML 并启用 XSS 攻击,被跟踪为 CVE-2022-1948,评分为 8.7。 其余5个漏洞分别是IP白名单绕过问题、Web端授权不当、群组成员访问不当和锁绕过问题。 转自 FreeBuf,原文链接:https://www.freebuf.com/news/335291.html 封面来源于网络,如有侵权请联系删除
GitLab 向报告远程代码执行漏洞的研究员奖励 2 万美元
GitLab 向报告自家平台的严重远程代码执行漏洞的安全研究人员奖励了 2 万美元。该漏洞由 William “vakzz” Bowling 发现,Bowling 既是一名程序员同时也是 Bug 赏金猎人,他于3月23日通过 HackerOne Bug 赏金平台私密披露了该漏洞。 Bowling 表示,GitLab 的 UploadsRewriter 函数用于拷贝文件,而这正是此次严重安全问题的源头。当 issue 被用于跨项目复制时,UploadsRewriter 函数会检查文件名和补丁。然而在这过程中由于没有验证检查,导致出现路径遍历问题,这可能会被利用于复制任何文件。 根据 Bug 赏金猎人的说法,如果漏洞被攻击者利用,则可能会被用于”读取服务器上的任意文件,包括 token、私有数据和配置”。GitLab 实例和 GitLab.com 域均受到该漏洞的影响,此漏洞被 HackerOne 判定为严重等级程度。 Bowling 补充到,通过使用任意文件读取漏洞从 GitLab 的 secret_key_base 服务中抓取信息,可以将该漏洞变成远程代码执行(RCE)攻击。举例来说,如果攻击者改变了自己实例的 secret_key_base 以匹配项目,那么 cookie 服务也可以被操纵以用于触发 RCE 攻击。 Bowling 将漏洞发送给了 GitLab 安全团队,工程师们重现了此问题,并指出攻击者至少需要成为项目成员才能利用该漏洞,但根据 GitLab 高级工程师 Heinrich Lee Yu 的说法,攻击者也可以”创建自己的项目或组别来达到同样的目的”。 目前,该漏洞已经在 GitLab 12.9.1 版本中得到了解决,安全研究人员 Bowling 也于3月27日获得了全额赏金。 (稿源:开源中国,封面源自网络。)
GitLab 在产品中收集用户行为数据,遭遇强烈吐槽撤回
上周 GitLab 给所有用户发送题为《关于服务协议以及用户行为数据收集重要通知》的邮件(详情)。GitLab 希望借此来收集来自 GitLab 产品中的用户使用习惯,以改进产品从而为用户提供更好的产品体验。 GitLab 原计划不会针对所有产品都收集遥测数据。如下图所示,对于社区版和企业版,GitLab 都没有添加收集遥测数据的服务。唯一会收集数据的地方来自 GitLab.com 提供的服务。 但作为独立部署的产品,此举遭到来自社区开发者的强烈抗议。日前,迫于压力,GitLab 再次发布撤回并重新思考关于收集用户行为的措施以及道歉邮件。 GitLab 官方称将不会在产品中激活用户的产品使用行为的分析。同时希望用户根据此行为提供反馈意见。 (稿源:开源中国,封面源自网络。)
开源系统 GitLab 存在高危漏洞,用户私有令牌或遭会话劫持
据外媒 近日报道,数据安全公司 Imperva 研究人员丹尼尔·斯瓦特曼(Daniel Svartman)今年 5 月发现开源系统 GitLab 存在一处高危漏洞,能够允许攻击者通过会话劫持窃取用户私有令牌。 直至本周三,GitLab 官方才确认已彻底解决这一问题。 研究人员指出,如果攻击者通过该漏洞成功破解某一帐户,那么他们极有可能获取账户管理权限、转储恶意代码并通过会话劫持窃取用户敏感信息等操作。此外,攻击者还可在执行代码更新时将任何恶意程序嵌入其中。与此同时,由于 GitLab 使用的永久性私有会话令牌永远不会过期,因此当攻击者获取该令牌后受害账户随时可能遭受入侵。另外,值得注意的是,该令牌仅由 20 个字符组成,这使目标账户遭受暴力攻击的几率显著增加。 研究人员表示尚不清楚该漏洞已出现多久,而 GitLab 方面则澄清截止目前并没有用户遭受恶意攻击的案例。GitLab 安全主管 Brian Neel 强调:“ GitLab 现使用的私有令牌只能在与跨站点脚本或其他漏洞相结合时,才会对用户构成威胁。对此,GitLab 官方正积极采取更安全的措施以避免账户会话数据泄露 ”。 原作者:Chris Brook,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。
Gitlab.com 误删 300 G 数据、五重备份失效已宕机 10 小时
GitLab.com 官方网站发布声明称由于其产品数据库问题导致的网站无法正常访问。据国外媒体报道称 Gitlab 网站疲惫的系统管理员深夜在进行数据库维护时,使用 rm -rf 删了 300GB 生产环境数据。等到清醒过来紧急按下 ctrl + c (强制中断程序的执行),只有 4.5GB 保留下来。然后恢复备份失败,网站已经宕了 10 个小时。 目前可以确认的是 Gitlab 的数据备份是无效的。报告称此次数据丢失并非仓库的数据,而是仓库相关的 issue 以及合并请求操作。 GitLab.com 号称有五重备份机制:常规备份( 24 小时做一次)、自动同步、LVM 快照( 24 小时做一次)、Azure 备份(只对 NFS 启用,对数据库无效)、S3 备份。这次事故发生时,所有备份全部无效!为了纪念这个事件,已经有人提议,将 2 月 1 日定为“世界备份日” 消息来源:oschina ,封面来源:百度搜索 ** 据 HackerNews.cc 2日 1:00 最新消息,GitLab 数据库成功已恢复事故前6 小时的最新备份。