freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

GitLab 存在漏洞,允许攻击者接管用户账户
2022-04-02 15:36:40
所属地 上海

Bleeping Computer 网站披露,GitLab 出现一个严重的漏洞(CVE-2022-1162),该漏洞可能允许远程攻击者使用硬编码密码接管用户账户,影响到 GitLab 社区版(CE)和企业版(EE),目前漏洞问题已解决。1648885108_6247fd742d6603ea476a2.png!small?1648885107350据悉,该漏洞由 GitLab CE/EE 基于 OmniAuth 的注册过程中,意外设置的静态密码造成。GitLab 团队发布安全公告表示,在 GitLab CE/EE 14.7(14.7.7之前)、14.8(14.8.5之前)和 14.9(14.9.2 之前)版本中,使用 OmniAuth 提供程序(如OAuth、LDAP、SAML)注册的账户被设置了硬编码密码,允许攻击者接管账户。

先前提交的一份代码显示,GitLab 删除了 "lib/gitlab/password.rb "文件,该文件用于为 "TEST_DEFAULT "常量分配一个弱的硬编码密码。1648885116_6247fd7c61e248477f26f.png!small?1648885115319

GitLab 敦促用户应立即将所有 GitLab 安装升级到最新版本(14.9.2、14.8.5或14.7.7),以阻止潜在的网络攻击。

重置部分 GitLab 用户的密码

GitLab 强调,超过 10 万个组织使用其 DevOps 平台,在全球 66 个国家拥有 3000 多万注册用户,为缓解 CVE-2022-1162 带来的恶劣影响,重置了部分 GitLab.com 用户的密码。

另外,GitLab 表示没有证据表明攻击者利用这一硬编码密码安全漏洞入侵了任何账户,但仍需要为用户的安全采取预防措施。当被问道重置密码的 Gitlab.com 用户数量时,GitLab 发言人分享了一些公告中已有的信息,并告诉 Bleeping Computer,只为部分用户做了密码重置。1648885130_6247fd8a652a7312d1f76.png!small?1648885129482

发布识别脚本

虽然 GitLab 称,目前为止没有用户账户被入侵,但该公司已经创建了一个脚本,实例管理员可以使用脚本识别可能受 CVE-2022-1162 影响的用户账户,在确定可能受影响的用户账户后,会建议管理员重置用户的密码。

参考文章:

https://www.bleepingcomputer.com/news/security/critical-gitlab-vulnerability-lets-attackers-take-over-accounts/

# 漏洞
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者
文章目录