В GitLab устранена критическая уязвимость

03.05.2016 10:45

Выпущены внеплановые корректирующие обновления платформы для организации совместной разработки GitLab 8.7.1, 8.6.8, 8.5.12, 8.4.10, 8.3.9 и 8.2.5, в которых устранена критическая уязвимость (CVE-2016-4340), позволяющая поднять свои привилегии в системе. Проблема присутствует в режиме "impersonate", появившемся в GitLab 8.2, и позволяет любому аутентифицированному пользователю войти в систему под другим пользователем, в том числе под администратором.

В качестве обходных способов для блокирования уязвимости можно добавить в настройки /etc/gitlab/gitlab.rb строку


nginx['custom_gitlab_server_config'] = "location ^~ /admin/users/stop_impersonation { deny all; }\n"

и перезапустить GitLab ("sudo gitlab-ctl reconfigure") или заблокировать доступ к обработчику /admin/users/stop_impersonation на уровне http-сервера:


Nginx:
   location ^~ /admin/users/stop_impersonation { deny all; }

Apache:
    <LocationMatch "^/admin/users/stop_impersonation">
     Order Deny,Allow
     Deny from all
    </LocationMatch>

HAProxy:
   acl is_stop_impersonation  path_beg         /admin/users/stop_impersonation
   acl is_delete method DELETE
   http-request deny if is_delete is_stop_impersonation

Кроме того, в новых выпусках устранено ещё несколько уязвимостей: повышение привилегий через notes API (можно добавить произвольное примечание к любому запросу на изменение или сообщению), повышение привилегий через webhook API (можно читать и удалять webhooks приватных проектов), четыре XSS-уязвимости (межсайтовый скриптинг) и четыре утечки закрытой информации.

исправить +9 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/44364-gitlab

Ключевые слова: gitlab

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (18)

1.1, vitalif (ok), 10:54, 03/05/2016 [ответить] [﹢﹢﹢] [ · · · ]	+5 +/–
в линкоре обнаружена дыра размером с линкор

2.9, Анончег (?), 22:26, 03/05/2016 [^] [^^] [^^^] [ответить]

+1 +/–

> "В GitLab устранена критическая уязвимость"

Так, так, тень Столлмана намедни всем ГитХХХ буковки присваивала, а ГитЛаб какую буковку получил?

Неужели Д?

1.2, Аноним (-), 11:09, 03/05/2016 [ответить] [﹢﹢﹢] [ · · · ]	+8 +/–
Фонд СПО продолжает советовать GitLab, более того он поднял рейтинг GitLab до уровня "A+" (https://www.opennet.ru/opennews/art.shtml?num=44313 ) так как GitLab теперь обеспечивает полную свободу доступа.

2.6, Аноним (-), 16:06, 03/05/2016 [^] [^^] [^^^] [ответить]	+1 +/–
GitLab отнесён к категории "C"

3.8, Аноним (-), 17:27, 03/05/2016 [^] [^^] [^^^] [ответить]	+/–
XXL fastfood

2.11, бедный буратино (ok), 05:30, 04/05/2016 [^] [^^] [^^^] [ответить]	+2 +/–
ну, когда любой может стать администратором - это, разумеется, высшая форма свободы. долой дискриминацию по правам юзеров! права администратора в каждый аккаунт!

1.3, й (?), 12:35, 03/05/2016 [ответить] [﹢﹢﹢] [ · · · ]	+/–
дырка смешная, да. есть ли self-hosted альтернативы, кроме gogs и gitweb?

2.4, Аноним (-), 13:48, 03/05/2016 [^] [^^] [^^^] [ответить]	+2 +/–
https://en.wikipedia.org/wiki/Kallithea_%28software%29 Говорят оно глючное, однако юзерам гитлаба не привыкать.

3.5, й (?), 14:36, 03/05/2016 [^] [^^] [^^^] [ответить]	+/–
а там точно есть git over ssh? дока только про hg говорит.

1.7, Аноним (7), 16:24, 03/05/2016 [ответить] [﹢﹢﹢] [ · · · ]

+/–

git over ssh - есть, и over http(https)

Говорят, на солнце пятна :)

как по мне, система очень неплоха и удобна, уже года 3 пользуемся.
для небольшой команды вполне. (большой команды пока нет, протестировать не можем).

2.10, Анончег (?), 22:28, 03/05/2016 [^] [^^] [^^^] [ответить]

+2 +/–

> ...(большой команды пока нет, протестировать не можем).

Как будет не забудь сообщить результаты, ждём.

3.19, Аноним (7), 18:05, 06/05/2016 [^] [^^] [^^^] [ответить]	+/–
А Вы следите за нашими успехами?

4.20, Анончег (?), 21:59, 06/05/2016 [^] [^^] [^^^] [ответить]	+/–
> А Вы следите за нашими успехами? После таких громогласных заявлений стали следить, причём с большим интересом.

2.13, freehck (ok), 11:54, 04/05/2016 [^] [^^] [^^^] [ответить]	+/–
У нас команда порядка 40 человек. Пользуемся GitLab, работает стабильно, нареканий нет.

3.14, бедный буратино (ok), 12:16, 04/05/2016 [^] [^^] [^^^] [ответить]	+/–
> У нас команда порядка 40 человек. Пользуемся GitLab, работает стабильно, нареканий нет. ... и все поголовно администраторы в белых штанах... :)

4.17, Аноним (-), 01:01, 06/05/2016 [^] [^^] [^^^] [ответить]	+/–
В малиновых же. :)

4.21, freehck (ok), 17:59, 11/05/2016 [^] [^^] [^^^] [ответить]	+/–
Не совсем. Теперь я - администратор в белых штанах. :)

1.12, бедный буратино (ok), 05:33, 04/05/2016 [ответить] [﹢﹢﹢] [ · · · ]	–3 +/–
если бы там ещё иссуи были. да и громоздкое оно. самое кучерявое - это fossil, маленький но вёрткий! с тех пор, как от предустановленных тем перестало хотеться спрятаться в глубокий-глубокий погреб, с ним можно жить.

игнорирование участников | лог модерирования

Добавить комментарий

Текст: