【漏洞公告】CVE-2017-0882:GitLab信息泄露高危漏洞
GitLab 是一个使用 Ruby on Rails 开发的开源应用程序,实现了一个 Git 仓库管理平台,可通过 Web 界面进行访问公开的或者私有的项目,在企业中得到的广泛的使用。
2017年3月20日,GitLab官方发布了8.17.4、8.16.8和8.15.8版本(社区版和企业版),修复多个高危漏洞,其中包含一个针对关键信息泄露漏洞的更新补丁,针对SSRF攻击的防护,以及针对可导致Atom源中私有邮件地址泄露漏洞的补丁,ElasticSearch中私有库数据泄露的补丁等,
攻击者可以通过这些漏洞来获取相应的用户权限,危害严重。
具体漏洞详情如下:
漏洞编号:
CVE-2017-0882
漏洞名称:
GitLab信息泄露高危漏洞
官方评级:
高危
漏洞描述:
该漏洞可导致拥有向其他用户发送issue或merge请求权限的攻击者获取到该用户的private token, email token, email地址和加密的OTP secret。想要利用漏洞需要有Reporter级别的权限。通过Gitlab API和敏感信息,就能以该用户权限进行操作,如果目标用户是管理员则可能产生更大危害。
造成该漏洞漏洞的原因是对用户对象序列化过程中的一个bug,这个问题自GitLab 8.7.0版本就开始出现。
漏洞利用条件和方式:
黑客可以实现远程利用该漏洞执行代码。
漏洞影响范围:
- 8.7.0至8.15.7
- 8.16.0至8.16.7
- 8.17.0至8.17.3
漏洞检测与确认:
- 打开项目;
- 打开项目的issue跟踪器;
- 创建一个issue,将issue拥有权限分配给另一个用户;
- 查看返回的JSON,检查其中是否有敏感信息。
漏洞修复建议(或缓解措施):
- 升级 GitLab 至以下相应版本:
8.15.8
8.16.8
8.17.4
- 由于漏洞的性质,用户的token可能会缓存在代理或浏览器中,升级完毕后,建议所有系统管理员尽快重置所有用户的private token和email token;
提醒:在升级前请做好快照备份。
情报来源:
- https://about.gitlab.com/2017/03/20/gitlab-8-dot-17-dot-4-security-release/
阿里云整套安全产品和服务 云盾 : 集阿里巴巴集团多年来安全技术研究积累的成果,同时结合阿里云计算平台强大的数据分析能力
最热活动:云产品5折起
版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
面对GitLab的这些高危漏洞,阿里云的安全产品和服务能够为企业提供全面的安全防护和解决方案,帮助企业有效预防、发现并应对类似的安全威胁。以下是一些关键的云盾服务,它们能为您的GitLab环境及其他云上资产提供安全保障:
-
安骑士:作为一款云主机安全防护服务,安骑士可以实时监控您的服务器状态,检测并防御潜在的安全风险,包括但不限于系统漏洞、恶意程序、异常网络连接等。对于已知的GitLab漏洞,如CVE-2017-0882,安骑士能够及时提醒用户存在风险,并提供修复建议或自动修复功能,帮助快速响应。
-
Web应用防火墙(WAF):针对Web应用层的攻击,如SSRF、SQL注入、XSS等,WAF能够提供有效的防护。通过预设规则及自定义规则,它可以拦截恶意请求,保护GitLab Web界面免受攻击,降低信息泄露的风险。
-
数据加密服务:虽然该漏洞不直接涉及数据加密,但使用数据加密服务对敏感数据进行加密存储是最佳实践之一,可以进一步保障即使在数据被不当访问的情况下,也能保持数据的保密性。
-
安全管家服务:如果企业需要专业的安全团队支持,安全管家服务可以提供定制化的安全咨询、定期安全评估、应急响应等,确保系统的持续安全与合规。
-
密钥管理服务(KMS):对于私有token、email token等敏感信息的管理,使用KMS可以帮助您安全地生成、存储、使用和旋转密钥,减少因密钥泄露导致的安全事件。
-
态势感知:提供全局视角的安全监控和分析,帮助您从海量日志中发现潜在的安全威胁,对GitLab及其他业务系统的安全状况进行全面掌握。
为了确保GitLab及其他业务系统的安全,建议结合使用上述云盾服务,并遵循官方的漏洞修复建议,及时升级软件版本,同时采取必要的缓解措施,如重置用户token,以彻底消除潜在的安全隐患。阿里云的安全产品和服务旨在构建一个全方位、多层次的安全防护体系,助力企业实现业务的稳健运行。
