Критическая уязвимость в GitLab позволяет злоумышленникам завладеть учетными записями

Критическая уязвимость в GitLab позволяет злоумышленникам завладеть учетными записями

В сборках был обнаружен жестко запрограммированный пароль

Ошибка (обнаруженная внутри компании и отслеживаемая как CVE-2022-1162 ) затрагивает как GitLab Community Edition (CE), так и Enterprise Edition (EE). Уязвимость связанна с тем, что статические пароли были случайно установлены во время регистрации на основе OmniAuth в GitLab CE/EE.

«Для учетных записей, зарегистрированных с использованием провайдера OmniAuth (например, OAuth, LDAP, SAML) в GitLab CE/EE версий 14.7 до 14.7.7, 14.8 до 14.8.5 и 14.9 до 14.9.2, был установлен жестко запрограммированный пароль, позволяющий злоумышленникам потенциально завладеть учетными записями», — объяснила команда GitLab в бюллетене по безопасности, опубликованном в четверг.

GitLab призвал пользователей немедленно обновить все установки GitLab до последних версий (14.9.2, 14.8.5 или 14.7.7), чтобы заблокировать потенциальные атаки.

«Мы настоятельно рекомендуем, чтобы все установки, работающие с уязвимыми версиям, были обновлены до последней версии как можно скорее», — предупредили в компании .

В рамках закрытия критической уязвимости GitLab удалила файл lib/gitlab/password.rb, который использовался для назначения вшитого пароля в константе TEST_DEFAULT.

GitLab сбросила пароли части пользователей GitLab.com, чтобы нельзя было использовать уязвимость CVE-2022-1162 в дальнейшем. GitLab не выявила следов компрометации учетных данных пользователей по этому инциденту, но не раскрыла детали своего расследования.

GitLab в рамках смягчения последствий данного инцидента выложила скрипт , который ищет учетные записи пользователей, подверженных уязвимости CVE-2022-1162. В случае их обнаружения разработчикам рекомендуется сбросить пароли учетных записей.

По данным GitLab, более 100 000 организаций используют платформу DevOps, и, по оценкам компании, у нее более 30 миллионов зарегистрированных пользователей из 66 стран мира.


Один хакер может причинить столько же вреда, сколько 10 000 солдат! Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!