Компания сообщила, что GitLab Community Edition (CE) и GitLab Enterprise Edition (EE) были исправлены, чтобы исправить серьезную ошибку, связанную с жестко закодированными паролями.

В сообщении, сопровождающем патч, GitLab объяснил, как уязвимость дала потенциальным злоумышленникам возможность получить полный контроль над уязвимыми конечными точками.

Уязвимость связана с тем, как программное обеспечение генерирует надежный поддельный пароль для тестирования. Есть три элемента: User.password_length.max, определяемое пользователем максимальное количество символов для пароля, DEFAULT_LENGTH, который жестко запрограммирован на 12 символов, и фальшивый надежный пароль для теста: "[электронная почта защищена]#».

Разница между первыми двумя множителями дополняется нулями.

Уязвимости высокой степени опасности

Так, например, если пользователь должен установить максимальное количество символов для пароля равным 21, программное обеспечение объединит "[электронная почта защищена]#» с количеством нулей, чтобы достичь этого максимума. В данном конкретном примере это будет "[электронная почта защищена]#000000000», и этот пароль предоставит доступ ко всем учетным записям, созданным с помощью OmniAuth.

Ошибка отслеживается как CVE-2022-1162 и получила оценку серьезности 9,1.

Она была обнаружена и исправлена ​​командой GitLab и предположительно не подвергалась злоупотреблениям, поскольку компания заявила, что до сих пор не было украдено ни одной учетной записи пользователя.

«Мы выполняем сброс пароля GitLab.com для избранного набора пользователей, начиная с 3:38 UTC [четверг]», — говорится в уведомлении. «Наше расследование не показывает никаких признаков того, что пользователи или учетные записи были скомпрометированы, но мы принимаем меры предосторожности для безопасности наших пользователей.

GitLab — это программное обеспечение DevOps, предоставляющее разработчикам возможность создавать, защищать и эксплуатировать свое программное обеспечение в одном месте. Последние версии облачного программного обеспечения включают 14.9.2, 14.8.5 и 14.7.7, и разработчики призывают пользователей немедленно применять исправления.

Всего с помощью этих исправлений было исправлено 12 ошибок, включая сохраненную XSS-уязвимость. По данным компании, у GitLab один миллион активных пользователей.

Через: Реестр

Поделиться