Gitlab zranitelnost umožňuje krádeži relace

Na Internetu je opět nalezena chyba zabezpečení. Dnes je řada na GitLabu. Odborníci na bezpečnost zjistili chybu zabezpečení, která uživatelům umožňuje krádež zahájených relací. Imperva je společnost, která detekovala tuto bezpečnostní chybu. A také původ problému.

Chyba zabezpečení v GitLabu umožňuje krádeži relací

Jak komentují, problém spočívá v tokenu, který se používá k označení relací uživatelů. ID, které tuto položku identifikuje, je příliš krátké. To způsobí útok hrubou silou a ID, které odpovídá relaci uživatele, lze najít velmi rychle.

Chyba zabezpečení GitLab

Problém je v tom, že v případě GitLab tato informace není zničena, což se ve většině případů stává. Protože pokud se někomu podaří identifikovat token uživatele, mohl se svým účtem provádět všechny druhy akcí. Kromě přístupu k vašim informacím byste je mohli upravovat nebo provádět s nimi nechtěné nákupy.

Bylo poznamenáno, že hrubá síla je jedním ze způsobů, které používají k získání těchto informací v GitLabu. I když existují i ​​jiné způsoby. Jiným způsobem je útok Man-in-the-Middle, protože tokeny nevyprší. V databázi by se také použila injekce kódu. Přestože v tomto typu útoku musí být na serverech bezpečnostní chyba. A zdá se, že tentokrát tomu tak není.

Společnost se rozhodla pracovat na vyřešení problému. Byla přidána některá opatření k ověření tokenů. Ale v tuto chvíli nejsou žádné další zprávy. GitLab oznámil změny během měsíce, takže uvidíme, co se stane.