Şirket, GitLab Community Edition (CE) ve GitLab Enterprise Edition’ın (EE) sabit kodlanmış parolalarla ilgili büyük bir kusuru düzeltmek için yamalandığını açıkladı.
Düzeltmeye eşlik eden bir danışma belgesinde GitLab, kusurun potansiyel saldırganlara savunmasız uç noktaları tamamen ele geçirme yeteneği verdiğini açıkladı.
Güvenlik açığı, yazılımın test için nasıl sahte ve güçlü bir parola oluşturduğuna odaklanıyor. Üç öğe vardır: User.password_length.max, bir parola için kullanıcı tarafından belirlenen maksimum karakter sayısı, 12 karakterle sabit kodlanmış DEFAULT_LENGTH ve test için sahte güçlü parola – “123qweQWE!@#”.
İlk iki faktör arasındaki fark sıfırlarla doldurulur.
Yüksek önemdeki güvenlik açıkları
Bu nedenle, örneğin, bir kullanıcı 21’de bir parola için maksimum karakter sayısı ayarlasaydı, yazılım bu maksimuma ulaşmak için “123qweQWE!@#” ile bir dizi sıfırı birleştirirdi. Bu özel örnekte, “123qweQWE!@#000000000” olur ve bu parola OmniAuth ile oluşturulan tüm hesaplara erişim sağlar.
Hata, CVE-2022-1162 olarak izlenir ve 9.1’lik bir önem puanı verilir.
GitLab ekibi tarafından keşfedildi ve yamalandı ve iddiaya göre vahşi doğada kötüye kullanılmadı – şirket şu ana kadar hiçbir kullanıcı kimliğinin çalınmadığını söyledi.
“15:38 UTC’den itibaren seçilen bir kullanıcı grubu için GitLab.com parolalarının sıfırlanmasını gerçekleştirdik. [Thursday],” danışma belgesinde yazıyor. “Araştırmamız, kullanıcıların veya hesapların güvenliğinin ihlal edildiğine dair hiçbir belirti göstermiyor, ancak kullanıcılarımızın güvenliği için önlem alıyoruz.”
GitLab, yazılımlarını oluşturmak, güvenliğini sağlamak ve işletmek isteyen geliştiriciler için tek noktadan hizmet sunan bir DevOps yazılımıdır. Bulutta barındırılan yazılımın en yeni sürümleri 14.9.2, 14.8.5 ve 14.7.7’yi içeriyor ve geliştiriciler, kullanıcıları yamaları hemen uygulamaya çağırıyor.
Bu yamalarla, depolanmış bir XSS güvenlik açığı da dahil olmak üzere toplam 12 kusur düzeltildi. Şirket verilerine göre GitLab’ın bir milyon aktif kullanıcısı var.
Üzerinden: Kayıt
