Безопасность в глобальной сети ИнтернетНовости Интернет Сообщества

Уязвимость API в GitLab, утечка данных в публичных проектах

GitLab – веб-менеджер хранилища – недавно исправил критический недостаток в своем API, который представлял угрозу безопасности для своих служб. Как раскрывается, уязвимость GitLab API, как утверждается, открывала конфиденциальную информацию о публичных проектах. Сбой появился в API событий, который просачивал данные примерно на год.

Уязвимость GitLab API, данные подверженные уязвимости

Исследователь HackerOne с псевдонимом ngalog обнаружил недостаток в прошлом месяце. Позже он сообщил об этом GitLab. Он обнаружил ошибку в коде API событий GitLab. (Согласно GitLab, у них есть «послужной список великих сражений» с этим хакером.)

Получив предупреждение, GitLab начал расследование этого вопроса только для подтверждения сбоя. Сообщается, что ошибка появилась в июне 2017 года во время выпуска GitLab 9.3. Кроме того, объясняя влияние этой уязвимости, GitLab заявила в своем раскрытии,

[su_quote]«API-интерфейс Events был представлен с выпуском GitLab 9.3, и он позволил пользователям программно получить доступ к журналу активности проектов и пользователей … К сожалению, во время выпуска была введена ошибка, и API не соблюдал частный флаг событий, связанных с многочисленные целевые типы, принадлежащие публичным проектам. В результате события для указанных типов целей были подвержены потенциально не прошедшим проверку подлинности и неавторизованным сторонам ».[/su_quote]

Как сообщалось, ошибка привела к тому, что частная информация касалась проектов. Сюда входят частные ветки проектов, частные запросы на слияние, частные фрагменты, частные заметки и конфиденциальные вопросы.

Выпущена обновленная версия GitLab

Уязвимость GitLab API повлияла на все версии GitLab между 9.3 и 11.3, где обнаружение информации произошло «только через API». После расследований GitLab исправил этот недостаток и развернул исправление через инфраструктуру GitLab до 24 сентября 2018 года.

Хотя GitLab не указала точное влияние этой уязвимости, они подтвердили, что ошибка осталась неиспользованной.

[su_quote]«Учитывая широкое временное окно, в течение которого проблема присутствовала (более года), мы не можем точно определить степень воздействия … Мы исследовали четыре месяца сохраненных журналов GitLab.com и не обнаружили никаких доказательств того, что несанкционированные стороны доступ к любому из ваших частных событий ».[/su_quote]

Gitlab извинился за этот инцидент с безопасностью перед своими клиентами. Они также обязуются улучшить положение своей безопасности.

Подписывайтесь на обновления сайта, а также на наш Telegram.

Related Articles

Отзывы об использовании vps-хостинга 1gb-hosting

24.11.2022
proxy

Нужны анонимные/элитные прокси? Вам в Proxy-solutions.net

09.10.2021

Что такое модуль NFC и как он работает.

17.12.2019

Что такое брандмауэр и для чего он нужен?

12.11.2019

DeepSound — инструмент для аудио стеганографии

05.11.2019

Cangibrina — инструмент поиска панели администратора

21.10.2019

Обзор безопасности IPv6: маленький взгляд в будущее

18.10.2019

Топ 100 000 общих паролей, которые уже известны хакерам

08.10.2019

pwdump 1.4.2 и fgdump 1.3.4 — сброс пароля Windows

02.10.2019

Что такое обратный DNS? Основные инструменты для выполнения обратного поиска DNS

26.09.2019

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Back to top button
Adblock
detector . 102 запросов. 0,096 секунд.