GitLab выпускает экстренное исправление ошибок с паролем
GitLab выпускает экстренное исправление ошибок с паролем. Фото: Pexels
В компании объясняют, как уязвимость дала потенциальным злоумышленникам возможность полностью захватить уязвимые конечные точки.
Проблема связана с тем, как программное обеспечение генерирует поддельный надежный пароль для тестирования. Есть три элемента: User.password_length.max, установленное пользователем максимальное количество символов для пароля, DEFAULT_LENGTH, который жестко запрограммирован на 12 символов, и фальшивый надежный пароль для тестирования — «123qweQWE!@#».
Так, например, если бы пользователь установил максимальное количество символов для пароля, равное 21, программное обеспечение объединило бы «123qweQWE!@#» с количеством нулей, чтобы достичь этого максимума. В данном конкретном примере это будет выглядеть как «123qweQWE!@#000000000», и этот пароль предоставит доступ ко всем учетным записям, созданным с помощью OmniAuth.
Ошибка получила код CVE-2022-1162 и имеет оценку серьезности 9,1.
Она был обнаружена и исправлена командой GitLab и, как утверждается, злоумышленники не успели ей воспользоваться.
Из сообщения компании:
«Мы выполнили сброс паролей GitLab.com для выбранного набора пользователей по состоянию на 15:38 UTC [четверг]. Наше расследование не показывает никаких признаков того, что пользователи или учетные записи были скомпрометированы, но мы предпринимаем меры предосторожности»
GitLab — это программное обеспечение DevOps, которое предлагает универсальный магазин для разработчиков, желающих создавать, защищать и использовать свое программное обеспечение. Новейшие версии облачного программного обеспечения включают 14.9.2, 14.8.5 и 14.7.7, и разработчики призывают пользователей немедленно применять исправления.
Всего с помощью этих патчей было исправлено 12 уязвимостей, в том числе сохраненная XSS-уязвимость. По данным компании, у GitLab миллион активных пользователей.
Startpack подготовил список облачных сервисов для хранения паролей. Платные и бесплатные платформы для работы с паролями, необходимыми для доступа к прикладным программам или веб-сервисам. Обязательное шифрование данных защищает критически важную информацию от хищения или повреждения злоумышленниками. Автоматическая сортировка и заполнение полей с паролем облегчает доступ к сервисам. Возможность создания резервных копий базы паролей для сохранения на случай сбоя или ошибки.
Статьи по теме
Комментариев пока не было