UCloud-201703-004: GitLab权限泄露漏洞安全预警 | U刻
  • UCloud-201703-004: GitLab权限泄露漏洞安全预警

    栏目:安全资讯
    gitlab
    尊敬的UCloud用户:

    GitLab官方发布更新包,修复多个漏洞,其中一个漏洞可泄露客户关键信息,攻击者利用这些漏洞来获取相应的用户权限,危害严重。请检查您所使用的GitLab是否受到影响,并及时升级

    影响范围
    GitLab 以下版本都受该漏洞影响:
    8.7.0 ~ 8.15.7
    8.16.0 ~ 8.16.7

    8.17.0 ~ 8.17.3

    修复方案
    提醒:升级前请做好备份

    1. 升级GitLab至以下相应版本:8.15.8、8.16.8、8.17.4,升级完成后需要重置所有用户的private token 和 email token,重置方法见参考链接。

    漏洞详情

    GitLab在修改任务的分配者信息时,API将返回该用户的个人信息详情,其中包括了该用户的authentication_token、encrypted_otp_secret、otp_backup_codes等敏感信息。使用这些敏感信息结合Gitlab API可以实现使用该用户的身份和权限操作 GitLab。如果用户为管理员权限,可能会造成更大的危害。

    参考链接