GitLab, i en säkerhetsrådgivning idag, avslöjade en kritisk sårbarhet angripen i både Community Edition (CE) och Enterprise Edition (EE), genom vilken hackare kan ta över användarkonton på distans.
Det handlar om läckaget av hårdkodade lösenord som bildades när användare registrerar sig via OmniAuth-leverantörer. Eftersom de gör sådana konton sårbara, utfärdade GitLab en patch och uppmanade användare att uppdatera sina kunder omedelbart. Som en försiktighetsåtgärd hade den också återställt kontouppgifterna för utvalda användare.
Lösenordssårbarhet i GitLab Suite
Hårdkodade lösenord, som är inbäddade i en källkod utan att vara krypterade, är alltid sårbara för hack. Eftersom de är lätta att avslöja, bör berörda plattformstillverkare alltid leta efter sådana fall och coverup. Och det gjorde GitLab just nu.
Enligt a säkerhetsrådgivningrapporterade det idag, GitLab sa att en kritisk sårbarhet spåras som CVE-2022-1162 påverkar dess GitLab Community Edition (CE) och Enterprise Edition (EE), version 14.7 före 14.7.7, 14.8 före 14.8.5 och 14.9 före 14.9.2.
För närvarande har ingen skadlig aktivitet eller kompromiss identifierats https://t.co/C4mACZpLWf relaterat till det potentiella Okta-brottet. Vi fortsätter att övervaka och undersöka och rekommenderar starkt att MFA aktiveras. Du kan se vårt svar här: https://t.co/nlO7QcGq34
— ???? GitLab (@gitlab) 22 mars 2022
Det här problemet berodde på statiska lösenord som av misstag ställts in under OmniAuth-baserad registrering (som OAuth, LDAP, SAML) i GitLab CE/EE, vilket resulterade i exponering av lösenord, vilket i slutändan låter hackare ta över konton på distans.
Således släppte GitLab en patch för alla de sårbara versionerna av GitLab Community Edition och Enterprise Edition (14.9.2, 14.8.5 eller 14.7.7) och uppmanade användare att omedelbart uppdatera den senaste versionen.
För att säkerställa att inga konton har kapats ännu, återställer GitLab ett utvalt antal användarkonton som en försiktighetsåtgärd. Och om du är en GitLab-användare osäker på att ditt konto är säkert kan du använda en GitLab-gjort skript för självhanterade instansadministratörer att kontrollera.
Över 100 000 organisationer använder GitLabs DevOps-plattform, medan den har över 30 miljoner uppskattade registrerade användare från 66 länder världen över, säger företagets hemsida.
