Gitlab zranitelnost umožňuje krádeži relace
Obsah:
Na Internetu je opět nalezena chyba zabezpečení. Dnes je řada na GitLabu. Odborníci na bezpečnost zjistili chybu zabezpečení, která uživatelům umožňuje krádež zahájených relací. Imperva je společnost, která detekovala tuto bezpečnostní chybu. A také původ problému.
Chyba zabezpečení v GitLabu umožňuje krádeži relací
Jak komentují, problém spočívá v tokenu, který se používá k označení relací uživatelů. ID, které tuto položku identifikuje, je příliš krátké. To způsobí útok hrubou silou a ID, které odpovídá relaci uživatele, lze najít velmi rychle.
Chyba zabezpečení GitLab
Problém je v tom, že v případě GitLab tato informace není zničena, což se ve většině případů stává. Protože pokud se někomu podaří identifikovat token uživatele, mohl se svým účtem provádět všechny druhy akcí. Kromě přístupu k vašim informacím byste je mohli upravovat nebo provádět s nimi nechtěné nákupy.
Bylo poznamenáno, že hrubá síla je jedním ze způsobů, které používají k získání těchto informací v GitLabu. I když existují i jiné způsoby. Jiným způsobem je útok Man-in-the-Middle, protože tokeny nevyprší. V databázi by se také použila injekce kódu. Přestože v tomto typu útoku musí být na serverech bezpečnostní chyba. A zdá se, že tentokrát tomu tak není.
Společnost se rozhodla pracovat na vyřešení problému. Byla přidána některá opatření k ověření tokenů. Ale v tuto chvíli nejsou žádné další zprávy. GitLab oznámil změny během měsíce, takže uvidíme, co se stane.
Windows phone 8.1 gdr2 obsahuje systém ochrany proti krádeži
Společnost Microsoft nedávno oznámila nové modely Lumia 640 a XL, které jsou určeny pro přechodný segment a mají Windows Phone GDR2 8.1.
Zranitelnost v milionech zařízení Android umožňuje vzdálený přístup
Zranitelnost v milionech zařízení Android umožňuje vzdálený přístup. Další informace o novém problému zjištěném na zařízeních Android.
Kritická zranitelnost umožňuje špionáž v sítích 3g a 4g
Kritická zranitelnost umožňuje špionáž v sítích 3G a 4G. Objevila se chyba v sítích 3G a 4G, která umožňuje přístup k uživatelským datům.