Уязвимость в GitLab, позволяющая захватить аккаунты, авторизированные через OAuth, LDAP и SAML

01.04.2022 08:16

В корректирующих обновлениях платформы для организации совместной разработки GitLab 14.7.7, 14.8.5 и 14.9.2 устранена критическая уязвимость (CVE-2022-1162), связанная с установкой предопределённых (hardcoded) паролей для учётных записей, зарегистрированных с использованием провайдера OmniAuth (OAuth, LDAP и SAML). Уязвимость потенциально позволяет атакующему получить доступ к учётной записи. Всем пользователям рекомендуется срочно установить обновление. Детали проблемы пока не раскрываются. Для пользователей, чьи учётные записи были подвержены проблеме, инициирован сброс установленных паролей. Проблема выявлена сотрудниками GitLab и проведённое расследование не выявило следов компрометации пользователей.

В новых версиях также устранено ещё 16 уязвимостей, из которых 2 помечены как опасные, 9 - умеренные и 5 неопасные. Среди опасных проблем - возможность подстановки HTML-кода (XSS) в примечания (CVE-2022-1175) и комментарии/описания в issue (CVE-2022-1190).

Дополнение: Судя по изменениям в коде, в рабочем коде вместо отдельного токена использовался типовой тестовый пароль из переменной "Gitlab::Password.test_default", генерируемый как '"123qweQWE!@#" + "0" * (User.password_length.max - DEFAULT_LENGTH') и предназначенный для проведения тестов.

исправить +9 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/56948-gitlab

Ключевые слова: gitlab

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (27)

1.1, Аноним (1), 08:50, 01/04/2022 [ответить] [﹢﹢﹢] [ · · · ]	+4 +/–
хорошо в этот раз постгрес не грохнули - спасибо

2.2, anonymous (??), 08:54, 01/04/2022 [^] [^^] [^^^] [ответить]	+/–
а когда грохали?

3.4, pashev.ru (?), 09:17, 01/04/2022 [^] [^^] [^^^] [ответить]	+8 +/–
Эх, молодёжь!

2.3, Брат Анон (ok), 09:06, 01/04/2022 [^] [^^] [^^^] [ответить]	+3 +/–
Пр чём тут постгресс?

3.6, A (?), 09:43, 01/04/2022 [^] [^^] [^^^] [ответить]	–6 +/–
А это софт такой. Куда не влезешь, вылезаешь немного удивлённый, с желанием больше не пользоваться.

3.14, Аноним (14), 12:47, 01/04/2022 [^] [^^] [^^^] [ответить]	+2 +/–
короткая память? не помнишь когда одмины гитлаба ушатали постгресовую базу?

4.31, Брат Анон (ok), 14:42, 03/04/2022 [^] [^^] [^^^] [ответить]

–1 +/–

> короткая память? не помнишь когда одмины гитлаба ушатали постгресовую базу?

Ещё раз задам вопрос, если ты его не прочитал с первого раза:

ПРИ ЧЁМ ТУТ __ПОСТГРЕС__?

1.5, A (?), 09:42, 01/04/2022 [ответить] [﹢﹢﹢] [ · · · ]

+1 +/–

> ... предопределённых (hardcoded) паролей ...

AAAAAAAAA!!!! :)))

Этим сервисом нельзя пользоваться в бизнесе.

2.7, Аноним (7), 09:48, 01/04/2022 [^] [^^] [^^^] [ответить]	+8 +/–
Это энтерпрайз уровень и есть. А вы чего ждали?

2.16, Заноним (?), 13:45, 01/04/2022 [^] [^^] [^^^] [ответить]	+/–
Паниковский, брось гуся.

2.20, randomize (?), 15:05, 01/04/2022 [^] [^^] [^^^] [ответить]	+/–
1 апреля, не?

3.21, randomize (?), 15:11, 01/04/2022 [^] [^^] [^^^] [ответить]	+/–
Надеюсь, GitLab нас все-таки разыгрывает https://about.gitlab.com/releases/2022/03/31/critical-security-release-gitlab-

4.22, randomize (?), 15:12, 01/04/2022 [^] [^^] [^^^] [ответить]	+/–
Хоть и правка была вчера.

5.26, And (??), 20:22, 01/04/2022 [^] [^^] [^^^] [ответить]	+/–
Да уж больно в струе всего остального. Лёгкий налёт легкомысленности и лёгких последствий от того.

3.29, Аноним (29), 09:34, 02/04/2022 [^] [^^] [^^^] [ответить]	+1 +/–
> 1 апреля В эпоху постиронии каждый день 1 апреля.

1.8, Аноним (14), 10:52, 01/04/2022 [ответить] [﹢﹢﹢] [ · · · ]	+5 +/–
Главное было сделано, master на main заменили и логотип раскрасили. Остальное не особо важно xD

2.11, Аноним (11), 11:30, 01/04/2022 [^] [^^] [^^^] [ответить]	+/–
>логотип раскрасили А пруфы будут? Я вот помню Medium когда-то красил логотип в цвета LGBT-флага, мне пришлось даже скрипт написать, убирающий это непотребство, ибо зайдёт кто-нибудь, а у меня на экране такое, подумают что я из "этих", в век не отмылся бы потом.

3.13, Аноним (14), 12:39, 01/04/2022 [^] [^^] [^^^] [ответить]	+1 +/–
https://about.gitlab.com/ так открой глянь

4.17, Аноним (17), 14:07, 01/04/2022 [^] [^^] [^^^] [ответить]	+/–
На selfhosted некрашенный

5.19, Аноним (14), 14:53, 01/04/2022 [^] [^^] [^^^] [ответить]	+/–
а селфхостед за ВПНом тем более

3.18, Аноним (18), 14:46, 01/04/2022 [^] [^^] [^^^] [ответить]	+1 +/–
> мне пришлось даже скрипт написать, убирающий это непотребство по-моему это уже клиника. Не, то, что они раскрашивают лого - это тоже клиника, но и у тебя не менее клиника. Нормальный человек бы просто проигнорировал или выработал "баннерную слепоту".

3.23, Анонм (?), 16:02, 01/04/2022 [^] [^^] [^^^] [ответить]	+2 +/–
> подумают что я из "этих", в век не отмылся бы потом Так ты и есть из «этих». Нормальному мужику пофигу что про него какие-то бабуины думают, это только «эти», особенно латентные, пекутся лишь бы кто чего не заподозрил. Выйди из шкафа уже, легче жить будет.

1.10, Аноним (11), 11:26, 01/04/2022 [ответить] [﹢﹢﹢] [ · · · ]	+2 +/–
>связанная с установкой предопределённых (hardcoded) паролей для учётных записей >hardcoded >Уязвимость С каких это пор бэкдоры называются уязвимостями?

2.12, Аноним (12), 12:13, 01/04/2022 [^] [^^] [^^^] [ответить]	+2 +/–
если нашли и всем рассказали, значит уязвимость

2.30, Аноним (29), 09:36, 02/04/2022 [^] [^^] [^^^] [ответить]	+/–
Бекдоры входят во множество уязвимостей.

1.25, Аноним (25), 16:41, 01/04/2022 [ответить] [﹢﹢﹢] [ · · · ]	+/–
кому интересно: https://gitlab.com/gitlab-org/gitlab/-/commit/8e1715c7ccbf33bcfdc93f4c18ee0ad8

1.32, mos87 (ok), 08:57, 05/04/2022 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Оно на руби. /

игнорирование участников | лог модерирования

Добавить комментарий

Текст: