GitLab Community Edition (CE) und GitLab Enterprise Edition (EE) wurden gepatcht, um einen großen Fehler in Bezug auf fest codierte Passwörter zu beheben, gab das Unternehmen bekannt.
In einem dem Patch beigefügten Hinweis erklärte GitLab, wie der Fehler potenziellen Angreifern die Möglichkeit gab, die vollständige Kontrolle über anfällige Endpunkte zu übernehmen.
Die Schwachstelle dreht sich darum, wie die Software ein starkes gefälschtes Passwort zum Testen generiert. Es gibt drei Elemente: User.password_length.max, eine benutzerdefinierte maximale Zeichenanzahl für ein Passwort, DEFAULT_LENGTH, die fest auf 12 Zeichen codiert ist, und das gefälschte starke Passwort für den Test: "[E-Mail geschützt]#».
Die Differenz zwischen den ersten beiden Faktoren wird mit Nullen aufgefüllt.
Schwachstellen mit hohem Schweregrad
Wenn ein Benutzer beispielsweise die maximale Zeichenzahl für ein Passwort auf 21 festlegen würde, würde die Software "[E-Mail geschützt]#» mit einer Anzahl von Nullen, um dieses Maximum zu erreichen. In diesem speziellen Beispiel wäre es "[E-Mail geschützt]#000000000“, und dieses Passwort würde Zugriff auf alle mit OmniAuth erstellten Konten gewähren.
Der Fehler wird als CVE-2022-1162 verfolgt und erhielt einen Schweregrad von 9,1.
Es wurde vom GitLab-Team entdeckt und behoben und war angeblich nicht missbraucht, wobei das Unternehmen angab, dass bisher keine Benutzeridentitäten gestohlen wurden.
„Wir führen ab 3:38 Uhr UTC [Donnerstag] einen GitLab.com-Passwort-Reset für eine ausgewählte Gruppe von Benutzern durch“, heißt es in der Mitteilung. „Unsere Untersuchung zeigt keine Hinweise darauf, dass Benutzer oder Konten kompromittiert wurden, aber wir ergreifen Vorsichtsmaßnahmen für die Sicherheit unserer Benutzer.
GitLab ist eine DevOps-Software, die Entwicklern, die ihre Software erstellen, sichern und betreiben möchten, eine zentrale Anlaufstelle bietet. Die neuesten Versionen der Cloud-gehosteten Software umfassen 14.9.2, 14.8.5 und 14.7.7, und die Entwickler fordern die Benutzer dringend auf, Patches sofort anzuwenden.
Mit diesen Patches wurden insgesamt 12 Fehler behoben, darunter eine hinterlegte XSS-Schwachstelle. Laut Unternehmensangaben hat GitLab eine Million aktive Nutzer.
Über: Die Registrierung
