Критический баг в GitLab позволяет захватывать чужие аккаунты - «Новости» » Интернет технологии
sitename
Китайцы построили самую мощную в мире центрифугу, чтобы «сжимать» время и пространство - «Новости сети»
Китайцы построили самую мощную в мире центрифугу, чтобы «сжимать» время и пространство - «Новости сети»
 Asus представила геймерские смартфоны ROG Phone 9 и 9 Pro — Snapdragon 8 Elite, разъём для наушников и цена от $1000 - «Новости сети»
Asus представила геймерские смартфоны ROG Phone 9 и 9 Pro — Snapdragon 8 Elite, разъём для наушников и цена от $1000 - «Новости сети»
 Microsoft представила Windows 365 Link — компьютер, на который нельзя установить ни одной программы - «Новости сети»
Microsoft представила Windows 365 Link — компьютер, на который нельзя установить ни одной программы - «Новости сети»
 Вредоносные коммиты с бэкдорами обнаружили на GitHub - «Новости»
Вредоносные коммиты с бэкдорами обнаружили на GitHub - «Новости»
 Критический баг в плагине для WordPress угрожает 4 млн сайтов - «Новости»
Критический баг в плагине для WordPress угрожает 4 млн сайтов - «Новости»
 Данные всех россиян уже утекли в даркнет, заявил глава «Ростелекома» - «Новости сети»
Данные всех россиян уже утекли в даркнет, заявил глава «Ростелекома» - «Новости сети»
 Самым популярным паролем в 2024 году остается «123456» - «Новости»
Самым популярным паролем в 2024 году остается «123456» - «Новости»
 Ботнет эксплуатирует 0-day уязвимость в устройствах GeoVision - «Новости»
Ботнет эксплуатирует 0-day уязвимость в устройствах GeoVision - «Новости»
 Компанию T-Mobile взломали во время недавней атаки на телекомы - «Новости»
Компанию T-Mobile взломали во время недавней атаки на телекомы - «Новости»
 «Что-то мне как-то не по себе»: игроков насторожил 4K-геймплей S.T.A.L.K.E.R. 2: Heart of Chornobyl от Nvidia - «Новости сети»
«Что-то мне как-то не по себе»: игроков насторожил 4K-геймплей S.T.A.L.K.E.R. 2: Heart of Chornobyl от Nvidia - «Новости сети»
Как заработать денег, не выходя из дома, мы вам поможем с этим разобраться » Учебник CSS » Добавления стилей » Критический баг в GitLab позволяет захватывать чужие аккаунты - «Новости»

✔Критический баг в GitLab позволяет захватывать чужие аккаунты - «Новости»

02 апреля 2022 480 Добавления стилей / Вёрстка / Новости / Преимущества стилей / Отступы и поля 0

В GitLab устранили критическую уязвимость, которая позволяла удаленным злоумышленникам получать доступ к учетным записям пользователей с помощью жестко заданных паролей. Проблема CVE-2022-1162 затрагивала как GitLab Community Edition (CE), так и Enterprise Edition (EE).


Разработчики объясняют, что статические пароли по ошибке устанавливались во время регистрации на основе OmniAuth в GitLab CE/EE.


«Для учетных записей, зарегистрированных с использованием OmniAuth (например, OAuth, LDAP, SAML) в GitLab CE/EE версий 14.7 до 14.7.7, 14.8 до 14.8.5 и 14.9 до 14.9.2, был установлен жестко закодированный пароль, в еории позволяющий злоумышленникам захватывать учетные записи», — объясняет команда GitLab в бюллетене безопасности.


Коммит, отправленный два дня назад, показывает, что GitLab удалила файл lib/gitlab/password.rb, который использовался для назначения жестко закодированного пароля константе TEST_DEFAULT.


Теперь GitLab призывает пользователей как можно скорее обновить все установки до последних версий (14.9.2, 14.8.5 или 14.7.7), чтобы защититься от возможных атак. Также разработчики добавили, что уже сбросили пароли некоторых пользователей GitLab.com, стремясь смягчить последствия CVE-2022-1162. При этом подчеркивается, что пока никаких признаков компрометации и эксплуатации этого бага хакерам обнаружено не было.


Хотя пока атак на уязвимость не зафиксировано, компания создала скрипт, который позволит администраторам найти учетные записи пользователей, потенциально уязвимых перед CVE-2022-1162. В случае обнаружения уязвимых аккаунтов администраторам рекомендуется немедленно сбросить их пароли.


В GitLab устранили критическую уязвимость, которая позволяла удаленным злоумышленникам получать доступ к учетным записям пользователей с помощью жестко заданных паролей. Проблема CVE-2022-1162 затрагивала как GitLab Community Edition (CE), так и Enterprise Edition (EE). Разработчики объясняют, что статические пароли по ошибке устанавливались во время регистрации на основе OmniAuth в GitLab CE/EE. «Для учетных записей, зарегистрированных с использованием OmniAuth (например, OAuth, LDAP, SAML) в GitLab CE/EE версий 14.7 до 14.7.7, 14.8 до 14.8.5 и 14.9 до 14.9.2, был установлен жестко закодированный пароль, в еории позволяющий злоумышленникам захватывать учетные записи», — объясняет команда GitLab в бюллетене безопасности. Коммит, отправленный два дня назад, показывает, что GitLab удалила файл lib/gitlab/password.rb, который использовался для назначения жестко закодированного пароля константе TEST_DEFAULT. Теперь GitLab призывает пользователей как можно скорее обновить все установки до последних версий (14.9.2, 14.8.5 или 14.7.7), чтобы защититься от возможных атак. Также разработчики добавили, что уже сбросили пароли некоторых пользователей GitLab.com, стремясь смягчить последствия CVE-2022-1162. При этом подчеркивается, что пока никаких признаков компрометации и эксплуатации этого бага хакерам обнаружено не было. Хотя пока атак на уязвимость не зафиксировано, компания создала скрипт, который позволит администраторам найти учетные записи пользователей, потенциально уязвимых перед CVE-2022-1162. В случае обнаружения уязвимых аккаунтов администраторам рекомендуется немедленно сбросить их пароли.
CSS
запостил(а)
Backer
Вернуться назад

Смотрите также
А что там на главной? )))


Комментарии )))
Забыли пароль? Регистрация
Войти через: