Безопасность в глобальной сети ИнтернетНовости Интернет Сообщества

Уязвимость API в GitLab, утечка данных в публичных проектах

GitLab – веб-менеджер хранилища – недавно исправил критический недостаток в своем API, который представлял угрозу безопасности для своих служб. Как раскрывается, уязвимость GitLab API, как утверждается, открывала конфиденциальную информацию о публичных проектах. Сбой появился в API событий, который просачивал данные примерно на год.

Уязвимость GitLab API, данные подверженные уязвимости

Исследователь HackerOne с псевдонимом ngalog обнаружил недостаток в прошлом месяце. Позже он сообщил об этом GitLab. Он обнаружил ошибку в коде API событий GitLab. (Согласно GitLab, у них есть «послужной список великих сражений» с этим хакером.)

Получив предупреждение, GitLab начал расследование этого вопроса только для подтверждения сбоя. Сообщается, что ошибка появилась в июне 2017 года во время выпуска GitLab 9.3. Кроме того, объясняя влияние этой уязвимости, GitLab заявила в своем раскрытии,

«API-интерфейс Events был представлен с выпуском GitLab 9.3, и он позволил пользователям программно получить доступ к журналу активности проектов и пользователей … К сожалению, во время выпуска была введена ошибка, и API не соблюдал частный флаг событий, связанных с многочисленные целевые типы, принадлежащие публичным проектам. В результате события для указанных типов целей были подвержены потенциально не прошедшим проверку подлинности и неавторизованным сторонам ».

Как сообщалось, ошибка привела к тому, что частная информация касалась проектов. Сюда входят частные ветки проектов, частные запросы на слияние, частные фрагменты, частные заметки и конфиденциальные вопросы.

Выпущена обновленная версия GitLab

Уязвимость GitLab API повлияла на все версии GitLab между 9.3 и 11.3, где обнаружение информации произошло «только через API». После расследований GitLab исправил этот недостаток и развернул исправление через инфраструктуру GitLab до 24 сентября 2018 года.

Хотя GitLab не указала точное влияние этой уязвимости, они подтвердили, что ошибка осталась неиспользованной.

«Учитывая широкое временное окно, в течение которого проблема присутствовала (более года), мы не можем точно определить степень воздействия … Мы исследовали четыре месяца сохраненных журналов GitLab.com и не обнаружили никаких доказательств того, что несанкционированные стороны доступ к любому из ваших частных событий ».

Gitlab извинился за этот инцидент с безопасностью перед своими клиентами. Они также обязуются улучшить положение своей безопасности.

Подписывайтесь на обновления сайта, а также на наш Telegram.

Теги

nelus

Программист, SEO специалист, GEEK, увлекаюсь новостями из мира IT и безопасностью программного обеспечения.

Related Articles

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Back to top button