GitLab 严重漏洞可用于接管用户账户

聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

GitLab 修复了一个严重漏洞（CVE-2022-1162），它可导致远程攻击者接管使用了硬编码密码的用户账户，同时影响GitLab 社区版 (CE) 和企业版 (EE)。

该漏洞是由在GitLab CE版和EE版基于 OmniAuth 注册过程中偶然设置的静态密码造成的，影响的 CE 和 EE 版本是早于14,7,7的14,7版本、早于14.8.5的14.8版本以及早于14.9.2的14.9版本。该漏洞可用于接管用户账户。GitLab 督促用户立即将所有GitLab 版本更新至最新版即14.9.2、14.8.5或14.7.7版本。

从两天前提交的代码commit来看，GitLab 删除了 “lib/gitlab/password.rb” 文件。该文件用于向“TEST_DEFAULT”常数分配弱硬编码密码。

重置某些 GitLab 用户的密码

GitLab 表示已经为一些GitLab.com 用户重置了密码，缓解该漏洞。另外尚未发现该漏洞遭利用的迹象。GitLab 并未透露影响的用户数量。

识别受影响账户的脚本

虽然GitLab 表示目前并未有用户账户被攻陷，但仍然创建了脚本供自管理实例管理员用于识别可能受影响的用户账户，并提醒他们重置密码。

GitLab 指出目前超过10万家组织机构都在使用其 DevOps 平台，预计遍布66个国家的3000多万名注册用户都在使用它。