В сборках был обнаружен жестко запрограммированный пароль
«Для учетных записей, зарегистрированных с использованием провайдера OmniAuth (например, OAuth, LDAP, SAML) в GitLab CE/EE версий 14.7 до 14.7.7, 14.8 до 14.8.5 и 14.9 до 14.9.2, был установлен жестко запрограммированный пароль, позволяющий злоумышленникам потенциально завладеть учетными записями», — объяснила команда GitLab в бюллетене по безопасности, опубликованном в четверг.
GitLab призвал пользователей немедленно обновить все установки GitLab до последних версий (14.9.2, 14.8.5 или 14.7.7), чтобы заблокировать потенциальные атаки.
«Мы настоятельно рекомендуем, чтобы все установки, работающие с уязвимыми версиям, были обновлены до последней версии как можно скорее», — предупредили в компании .
В рамках закрытия критической уязвимости GitLab удалила файл lib/gitlab/password.rb, который использовался для назначения вшитого пароля в константе TEST_DEFAULT.
GitLab сбросила пароли части пользователей GitLab.com, чтобы нельзя было использовать уязвимость CVE-2022-1162 в дальнейшем. GitLab не выявила следов компрометации учетных данных пользователей по этому инциденту, но не раскрыла детали своего расследования.
GitLab в рамках смягчения последствий данного инцидента выложила скрипт , который ищет учетные записи пользователей, подверженных уязвимости CVE-2022-1162. В случае их обнаружения разработчикам рекомендуется сбросить пароли учетных записей.
По данным GitLab, более 100 000 организаций используют платформу DevOps, и, по оценкам компании, у нее более 30 миллионов зарегистрированных пользователей из 66 стран мира.
Ладно, не доказали. Но мы работаем над этим