GitLab發布更新以修復API存取權杖漏洞

GitLab發布最新適用於社群版以及企業版的13.7.2、13.6.4和13.5.6更新，這次更新版本包含高嚴重性的API存取令牌漏洞，以及多個中度嚴重等級的阻斷服務漏洞修復程式，官方強烈建議使用者立即將所有GitLab安裝，升級至這幾個最新版本。

官方提到，從GitLab 11.5開始的所有版本，都存在一個高嚴重性漏洞，可讓惡意攻擊者透過GitLab Pages竊取使用者API存取權杖，這個問題是因為GitLab Pages中，對身份驗證參數驗證不足所產生。

這個漏洞是透過HackerOne漏洞獎勵計畫回報，目前該漏洞尚未取得CVE ID，不過官方已經修復，並且強烈建議所有受影響的安裝版本，應該盡快升級到最新版本。GitLab Pages是讓使用者可以簡單地從GitLab儲存庫，發布靜態網站的功能。

內部開發團隊發現GitLab 13.7以上的安裝，存在一個中等嚴重性的CVE-2021-22166漏洞，該漏洞允許攻擊者發送格式錯誤的HTTP請求，阻斷Prometheus的服務，解決辦法也是要求用戶，盡快更新到最新GitLab版本。

這次更新還修復了另一個中等嚴重性的漏洞，該漏洞讓未經過授權的用戶，可以在特定條件下存取私人儲存庫資訊，所有GitLab 12.1以上的版本，都受到該漏洞影響，官方提到，在特定專案的頁面中使用不正確的標頭，讓攻擊者可以暫時讀取，在公開儲存庫中僅供成員存取的專案資訊，該漏洞是由白帽駭客通過HackerOne漏洞獎勵計畫，將漏洞回報給GitLab。

另外，舊版GitLab的NuGet API以及套件上傳功能，存在正規表示式阻斷服務漏洞，NuGet API漏洞影響所有GitLab 12.8以上版本，而套件上傳漏洞則影響GitLab 12.4以上版本。後者漏洞的形成原因，是由於套件名稱的正規表示式實作方法造成，在接受惡意輸入字串後，執行時間會以平方的速度增加。

GitLab在這次的更新版本中，變更了資料庫配置，將原本設定為可信任（Trusted）的所有執行個體OAuth應用程式，變更設定為機密（Confidential），而根據最佳實踐，這樣的改變將要求應用程式，在OAuth流程中發送client_secret，如此才能解決過去版本存在的安全性問題。

官方提到，當用戶有任何自定義執行個體的應用程式，在配置變更後出現問題，這代表客戶端在OAuth身份驗證過程中，沒有發送client_secret，或是正在使用隱含流程（Implicit Flow）。官方給出兩個解決辦法，除了客戶端在授權碼流程中，發送client_secret之外，也能將應用程式切換回非機密狀態，不過在這個情況，官方也建議用戶要將應用程式設定為不受信任，如此在沒有發送client_secret時，當應用程式請求存取權杖，則系統會要求用戶進行明確地對應用程式進行授權驗證。