写点什么

GitLab 揭露严重漏洞,提供补丁

2016 年 5 月 10 日

GitLab 刚刚宣布修复一系列重要的安全问题,其中包括一个重要的权限提升。GitLab 强烈建议所有安装了8.2 以及后续版本的用户尽快升级。

GitLab 发现了一个严重的漏洞,可以让任何验证的身份登录其他用户的账户,包括管理员账户。这个漏洞在 GitLab8.2 版本中被发现,该漏洞提供了一个“冒充”的功能,可以让管理员冒充其他用户登录。

这个漏洞影响到了 GitLab8.2.0 至 8.7.0 版本。GitLab 工程师 Douwe Maan这个漏洞是他们至今为止他们遇到的最麻烦的漏洞。

除了提供补丁版本的软件,GitLab 还揭露了几种方法,可以通过改变web 服务器、代理服务器的配置,或是给ruby 文件打补丁来进行补丁安装。例如,对于使用Apache web 服务器的用户,漏洞修复需要按照以下的规则进行:

复制代码
<LocationMatch "^/admin/users/stop_impersonation">
Order Deny,Allow
Deny from all
</LocationMatch>

GitLab 还揭露了一些次要严重性的漏洞,包括:

InfoQ 和 GitLab 工程副总裁 Stan Hu 进行了对话,了解到更多关于这次漏洞宣布和 GitLab 对这个问题的解决方法。

你可以简短地介绍一下最近公布的 GitLab 漏洞所产生的影响吗?

根据我们所了解到的,目前还没有什么公开性的影响。这些漏洞都在代码审查环节被 GitLab 的员工和安全研究人员所发现。

GitLab 经常揭露一些漏洞,并对它们遵循一种开放政策。这本身就是一个很大的加分,但有些人担心 GitLab 中漏洞的数量很多,并且经常能被发现。你可以就此发表一下评论吗?

GitLab 将持续公开安全漏洞问题。我们最优先修复安全方面的问题,每次我们收到漏洞报告的时候我们都试图可以尽快解决它。我们有数以百计的贡献者,无论是工作人员还是志愿者每天都在检查代码。

我们每个月都会发布一个新的版本提供一些新功能,修复一些错误。我们整体代码质量很高,我们尽最大努力来检查每一行代码,并进行完整的测试。我们邀请到一些网站比如说 HackerOne 的安全研究人员来帮助我们识别出 GitLab 中潜在的问题。与专有软件不同,开源项目意味着我们需要公开我们的安全问题。

可以介绍一下从首次发现漏洞到补丁发布的整个过程吗?

当我们发现 CVE–2016–4340 时,我们花了大约一小时进行了内部修复。我们首先给 GitLab.com 打补丁并迅速在私有仓库中将一些补丁移植到所有受影响的版本中去。通过 e-mail 和我们的博客,我们会告诉客户和公众安全更新的时间(5 月 2 日 23:59
UTC,礼拜一),让大家能准备好进行更新。我们和本地包的维护者共享补丁(例如 Debian,、FreeBSD 等等),他们都很感谢我们可以事先告知。在 5 月 2 日礼拜一,我们发布 GitLab 包更新,并在博客上详细介绍不能进行更新的用户的解决方案。我们发布 CVE
和 MITRE 的所有细节。我公开揭露了所有与漏洞相关的代码和问题。

查看英文原文 GitLab Discloses Critical Vulnerability, Provides Patch


感谢张龙对本文的审校。

给InfoQ 中文站投稿或者参与内容翻译工作,请邮件至 editors@cn.infoq.com 。也欢迎大家通过新浪微博( @InfoQ @丁晓昀),微信(微信号: InfoQChina )关注我们。

2016 年 5 月 10 日 19:002111
用户头像

发布了 217 篇内容, 共 52.4 次阅读, 收获喜欢 70 次。

关注

评论

发布
暂无评论
发现更多内容

java中实现List集合中对象元素按其属性的中文拼音排序

Shae

创建spring boot starter

曾彪彪

Java spring Boot Starter

碰撞率下降75%!Mobileye与所托瑞安宣布双方合作重大进展

最新动态

5分钟带你掌握Makefile分析

华为云开发者社区

makefile 脚本

记一次node项目重构改进

华为云开发者社区

Java 项目 方案

程序员快乐器之JAVA代码生成工具

Philips

敏捷开发 程序设计 软件架构 开发工具

大项目写代码写到晕头转向?敏捷多项目框架解君愁

Learun

敏捷开发 软件开发

案例解析丨Spark Hive自定义函数应用

华为云开发者社区

spark UDF

LeetCode题解:1. 两数之和,Map+队列+双指针,JavaScript,详细注释

Lee Chen

LeetCode 前端进阶训练营

神盾首创非对称联邦学习,深度保障数据隐私

小小的一朵云

大数据

不想码代码,你还能做什么?(一)

技术管理Jo

项目管理 技术管理 PMO

东方证券企业架构之技术架构转型实践

BoCloud博云

云计算 PaaS 容器云 博云 微服务治理

USDT承兑商支付系统搭建,区块链支付平台开发

13823153121

想学习数据结构和算法,推荐给你 10 本优质书单

沉默王二

数据结构 算法 书单推荐

将DevOps视为哲学——实施DevOps的绝佳方式

禅道项目管理

DevOps 测试 开发 持续交付

一定要写点什么?!

看动画学算法之:排序-快速排序

程序那些事

排序 快速排序 数据结构和算法 看动画学算法

Docker映射详解,没问题了!

程序员的时光

Docker

docker 安装consul

Shae

中途转行学Java,如何赛过科班生?你只需要做到这几点

小Q

Java 程序员 架构 技术 基础

实践案例丨基于Raft协议的分布式数据库系统应用

华为云开发者社区

raft 华为云

TNFE-Weekly[第七十二周已更新]

莹姐🙈

小程序 前端 周刊

什么是云服务器,ECS它能干什么?

德胜网络-阳

【写作群星榜】9.1~9.13写作平台优秀作者 & 文章排名

InfoQ写作平台官方

写作平台 排行榜 文章

从linux源码看epoll

无毁的湖光

Linux TCP Linux Kenel

同城双活与异地多活架构分析

vivo互联网技术

架构 高可用 架构设计 高可用系统的架构

基于electron桌面级脚手架的设计

久违

前端 设计 全栈

区块链永续合约交易所搭建,永续合约系统开发

13823153121

区块链钱包app开发,去中心化多币种钱包搭建

WX13823153201

使用Valgrind调试Linux C++程序

Simon

c++ gdb Valgrind memcheck 内存泄漏

Python中的with是测试常用到的资源打开利器

陈磊@Criss

演讲经验交流会|ArchSummit 上海站

演讲经验交流会|ArchSummit 上海站

GitLab揭露严重漏洞,提供补丁-InfoQ