写点什么

GitLab 揭露严重漏洞,提供补丁

2016 年 5 月 10 日

GitLab 刚刚宣布修复一系列重要的安全问题,其中包括一个重要的权限提升。GitLab 强烈建议所有安装了8.2 以及后续版本的用户尽快升级。

GitLab 发现了一个严重的漏洞,可以让任何验证的身份登录其他用户的账户,包括管理员账户。这个漏洞在 GitLab8.2 版本中被发现,该漏洞提供了一个“冒充”的功能,可以让管理员冒充其他用户登录。

这个漏洞影响到了 GitLab8.2.0 至 8.7.0 版本。GitLab 工程师 Douwe Maan这个漏洞是他们至今为止他们遇到的最麻烦的漏洞。

除了提供补丁版本的软件,GitLab 还揭露了几种方法,可以通过改变web 服务器、代理服务器的配置,或是给ruby 文件打补丁来进行补丁安装。例如,对于使用Apache web 服务器的用户,漏洞修复需要按照以下的规则进行:

复制代码
<LocationMatch "^/admin/users/stop_impersonation">
Order Deny,Allow
Deny from all
</LocationMatch>

GitLab 还揭露了一些次要严重性的漏洞,包括:

InfoQ 和 GitLab 工程副总裁 Stan Hu 进行了对话,了解到更多关于这次漏洞宣布和 GitLab 对这个问题的解决方法。

你可以简短地介绍一下最近公布的 GitLab 漏洞所产生的影响吗?

根据我们所了解到的,目前还没有什么公开性的影响。这些漏洞都在代码审查环节被 GitLab 的员工和安全研究人员所发现。

GitLab 经常揭露一些漏洞,并对它们遵循一种开放政策。这本身就是一个很大的加分,但有些人担心 GitLab 中漏洞的数量很多,并且经常能被发现。你可以就此发表一下评论吗?

GitLab 将持续公开安全漏洞问题。我们最优先修复安全方面的问题,每次我们收到漏洞报告的时候我们都试图可以尽快解决它。我们有数以百计的贡献者,无论是工作人员还是志愿者每天都在检查代码。

我们每个月都会发布一个新的版本提供一些新功能,修复一些错误。我们整体代码质量很高,我们尽最大努力来检查每一行代码,并进行完整的测试。我们邀请到一些网站比如说 HackerOne 的安全研究人员来帮助我们识别出 GitLab 中潜在的问题。与专有软件不同,开源项目意味着我们需要公开我们的安全问题。

可以介绍一下从首次发现漏洞到补丁发布的整个过程吗?

当我们发现 CVE–2016–4340 时,我们花了大约一小时进行了内部修复。我们首先给 GitLab.com 打补丁并迅速在私有仓库中将一些补丁移植到所有受影响的版本中去。通过 e-mail 和我们的博客,我们会告诉客户和公众安全更新的时间(5 月 2 日 23:59
UTC,礼拜一),让大家能准备好进行更新。我们和本地包的维护者共享补丁(例如 Debian,、FreeBSD 等等),他们都很感谢我们可以事先告知。在 5 月 2 日礼拜一,我们发布 GitLab 包更新,并在博客上详细介绍不能进行更新的用户的解决方案。我们发布 CVE
和 MITRE 的所有细节。我公开揭露了所有与漏洞相关的代码和问题。

查看英文原文 GitLab Discloses Critical Vulnerability, Provides Patch


感谢张龙对本文的审校。

给InfoQ 中文站投稿或者参与内容翻译工作,请邮件至 editors@cn.infoq.com 。也欢迎大家通过新浪微博( @InfoQ @丁晓昀),微信(微信号: InfoQChina )关注我们。

2016 年 5 月 10 日 19:002107
用户头像

发布了 217 篇内容, 共 52.4 次阅读, 收获喜欢 70 次。

关注

评论

发布
暂无评论
发现更多内容

甲方日常4

句子

工作 随笔杂谈 日常

你问我答:现有的应用有必要做微服务改造吗?

博云技术社区

DevOps 微服务 容器云 云平台 博云

腾讯技术专家图解29种设计模式中常见问题类级与方法级解决方案

周老师

Java 编程 程序员 架构 面试

面试必备知识点:悲观锁和乐观锁的那些事儿

鄙人薛某

面试 乐观锁 悲观锁 CAS 并发控制

Cassandra Gossip协议的二三事儿

华为云开发者社区

源码 三次握手 开发者 Cassandra Gossip协议

anyRTC Native 4.1.0.1与Web SDK 4.0.11上线

anyRTC开发者

学习 WebRTC 语音 直播 sdk

技术分享:即构互动白板音视频同步、多端有序协作技术实践

ZEGO即构

音视频 在线教育 SVG

oeasy教您玩转linux-010110内容回顾

o

性能相关 磁盘I/O子系统

Linuxer

揭开链表的真面目

Java旅途

Java 数据结构 链表

拖延症竟然是自己给自己的一种奖励?如何干掉它?

非著名程序员

个人成长 拖延症 番茄土豆工作法

区块链usdt支付系统开发,承兑支付跑分系统搭建

WX13823153201

区块链usdt支付系统开发

LeetCode题解:155. 最小栈,单个栈存储入栈元素与最小值之差,JavaScript,详细注释

Lee Chen

LeetCode 前端进阶训练营

C语言内存泄露很严重,如何应对?

华为云开发者社区

c 内存泄露 内存 代码 函数

1. 不吹不擂,第一篇就能提升你对Bean Validation数据校验的认知

YourBatman

Hibernate-Validator Bean Validation 数据校验 JSR380

Spring Bean处理器

TinyKing

Spring Framework

java安全编码指南之:对象构建

程序那些事

Java 安全 安全编码指南 对象构建

话题讨论 | 当你敲代码累了时,一般喜欢吃点什么补充能量?

InfoQ写作平台官方

加班 写作平台 代码 话题讨论

挽救你的视频号:能够把PPT转换成视频,把备注转换成语音的开源项目

陈磊@Criss

SpreadJS 纯前端表格控件应用案例:雨诺订单管理系统(雨诺OMS)

Geek_Willie

SpreadJS 纯前端表格控件应用案例:表格数据管理平台

Geek_Willie

图解Janusgraph系列-分布式id生成策略分析

洋仔聊编程

分布式 分布式系统 janusgraph 图数据库

MAC系统初始化

焦振清

macos 重装系统

关于显性知识和隐性知识

Tanmer

知识管理 知识产权

自己做的 PPT 总被批「缺少干货」?试试先回答这三个问题

Tony Wu

效率工具 方法论 PPT

DockerHub 镜像仓库的使用

哈喽沃德先生

Docker 容器 微服务 镜像 容器技术

云原生如何来进行HTTPS升级

soolaugust

架构 云原生 设计模式

SpreadJS 纯前端表格控件应用案例:MHT-CP数据填报采集平台

Geek_Willie

3种双集群系统方案设计模式详解

华为云开发者社区

数据库 数据仓库 数据 双集群系统 双ETL模式

当有人把GoF的23个设计模式嚼碎给你——你才会发现有多简单

周老师

Java 编程 程序员 架构 面试

案例分享丨红外自动感应门设计与实现详解

华为云开发者社区

物联网 传感器 感应探测器 SMT32处理器 感应门

GitLab揭露严重漏洞,提供补丁-InfoQ