GitLab發布最新適用於社群版以及企業版的13.7.2、13.6.4和13.5.6更新,這次更新版本包含高嚴重性的API存取令牌漏洞,以及多個中度嚴重等級的阻斷服務漏洞修復程式,官方強烈建議使用者立即將所有GitLab安裝,升級至這幾個最新版本。

官方提到,從GitLab 11.5開始的所有版本,都存在一個高嚴重性漏洞,可讓惡意攻擊者透過GitLab Pages竊取使用者API存取權杖,這個問題是因為GitLab Pages中,對身份驗證參數驗證不足所產生。

這個漏洞是透過HackerOne漏洞獎勵計畫回報,目前該漏洞尚未取得CVE ID,不過官方已經修復,並且強烈建議所有受影響的安裝版本,應該盡快升級到最新版本。GitLab Pages是讓使用者可以簡單地從GitLab儲存庫,發布靜態網站的功能。

內部開發團隊發現GitLab 13.7以上的安裝,存在一個中等嚴重性的CVE-2021-22166漏洞,該漏洞允許攻擊者發送格式錯誤的HTTP請求,阻斷Prometheus的服務,解決辦法也是要求用戶,盡快更新到最新GitLab版本。

這次更新還修復了另一個中等嚴重性的漏洞,該漏洞讓未經過授權的用戶,可以在特定條件下存取私人儲存庫資訊,所有GitLab 12.1以上的版本,都受到該漏洞影響,官方提到,在特定專案的頁面中使用不正確的標頭,讓攻擊者可以暫時讀取,在公開儲存庫中僅供成員存取的專案資訊,該漏洞是由白帽駭客通過HackerOne漏洞獎勵計畫,將漏洞回報給GitLab。

另外,舊版GitLab的NuGet API以及套件上傳功能,存在正規表示式阻斷服務漏洞,NuGet API漏洞影響所有GitLab 12.8以上版本,而套件上傳漏洞則影響GitLab 12.4以上版本。後者漏洞的形成原因,是由於套件名稱的正規表示式實作方法造成,在接受惡意輸入字串後,執行時間會以平方的速度增加。

GitLab在這次的更新版本中,變更了資料庫配置,將原本設定為可信任(Trusted)的所有執行個體OAuth應用程式,變更設定為機密(Confidential),而根據最佳實踐,這樣的改變將要求應用程式,在OAuth流程中發送client_secret,如此才能解決過去版本存在的安全性問題。

官方提到,當用戶有任何自定義執行個體的應用程式,在配置變更後出現問題,這代表客戶端在OAuth身份驗證過程中,沒有發送client_secret,或是正在使用隱含流程(Implicit Flow)。官方給出兩個解決辦法,除了客戶端在授權碼流程中,發送client_secret之外,也能將應用程式切換回非機密狀態,不過在這個情況,官方也建議用戶要將應用程式設定為不受信任,如此在沒有發送client_secret時,當應用程式請求存取權杖,則系統會要求用戶進行明確地對應用程式進行授權驗證。


報名台灣唯一超規格資安盛會

熱門新聞


Advertisement