GitLab выпускает экстренное исправление ошибок с паролем

Компания сообщила, что в GitLab Community Edition (CE) и GitLab Enterprise Edition (EE) была исправлена серьезная ошибка, связанная с жестко запрограммированными паролями.

GitLab выпускает экстренное исправление ошибок с паролем. Фото: Pexels

В компании объясняют, как уязвимость дала потенциальным злоумышленникам возможность полностью захватить уязвимые конечные точки.

Проблема связана с тем, как программное обеспечение генерирует поддельный надежный пароль для тестирования. Есть три элемента: User.password_length.max, установленное пользователем максимальное количество символов для пароля, DEFAULT_LENGTH, который жестко запрограммирован на 12 символов, и фальшивый надежный пароль для тестирования — «123qweQWE!@#».

Так, например, если бы пользователь установил максимальное количество символов для пароля, равное 21, программное обеспечение объединило бы «123qweQWE!@#» с количеством нулей, чтобы достичь этого максимума. В данном конкретном примере это будет выглядеть как «123qweQWE!@#000000000», и этот пароль предоставит доступ ко всем учетным записям, созданным с помощью OmniAuth.

Ошибка получила код CVE-2022-1162 и имеет оценку серьезности 9,1.

Она был обнаружена и исправлена командой GitLab и, как утверждается, злоумышленники не успели ей воспользоваться.

Из сообщения компании:

«Мы выполнили сброс паролей GitLab.com для выбранного набора пользователей по состоянию на 15:38 UTC [четверг]. Наше расследование не показывает никаких признаков того, что пользователи или учетные записи были скомпрометированы, но мы предпринимаем меры предосторожности»

GitLab — это программное обеспечение DevOps, которое предлагает универсальный магазин для разработчиков, желающих создавать, защищать и использовать свое программное обеспечение. Новейшие версии облачного программного обеспечения включают 14.9.2, 14.8.5 и 14.7.7, и разработчики призывают пользователей немедленно применять исправления.

Всего с помощью этих патчей было исправлено 12 уязвимостей, в том числе сохраненная XSS-уязвимость. По данным компании, у GitLab миллион активных пользователей.

Startpack подготовил список облачных сервисов для хранения паролей. Платные и бесплатные платформы для работы с паролями, необходимыми для доступа к прикладным программам или веб-сервисам. Обязательное шифрование данных защищает критически важную информацию от хищения или повреждения злоумышленниками. Автоматическая сортировка и заполнение полей с паролем облегчает доступ к сервисам. Возможность создания резервных копий базы паролей для сохранения на случай сбоя или ошибки.

Статьи по теме