Gitlab: Angreifer kann Konten übernehmen

Eine kritische Sicherheitslücke in Gitlab hat zur Folge, dass Angreifer andere Benutzerkonten übernehmen können. Neben Updates hat das Gitlab Saas-Angebot auch alle Passwörter des Systems zurückgesetzt. In der neuen Version wurden neben der kritischen Schwachstelle gleich 16 weitere Sicherheitslecks gestopft. Die Probleme betreffen sowohl die Enterprise als auch die Community Edition.

Der für die kritische Schwachstelle verantwortliche Programmierfehler tritt bei der OmniAuth-Registrierung auf. Für solche Konten wurde intern ein hart kodiertes Passwort verwendet, so dass ein Angreifer derartige Konten übernehmen kann.

In den neuen Versionen 14.7.7, 14.8.5 und 14.9.2 wurden die Fehler korrigiert.

E-Mail Benachrichtigung
Benachrichtige mich zu:
0 Kommentare
Älteste
Neuste Beste Bewertung
Nach oben