GitLab最近修复了一个严重漏洞。这个漏洞是由于在 GitLab CE/EE 基于 OmniAuth 的注册过程中意外设置的静态密码造成的。
据GitLab 团队称:“在 14.7.7 之前的 GitLab CE/EE 版本 14.7、14.8.5 之前的 14.8 和 14.9.2 之前的 14.9 中为使用 OmniAuth 提供程序注册的帐户设置了硬编码密码,从而使得攻击者可能会接管账户。”
GitLab 建议用户立即将所有 GitLab 安装升级到最新版本(14.9.2、14.8.5 或 14.7.7),以阻止潜在的攻击。
GitLab 删除了“lib/gitlab/password.rb”文件,该文件用于将弱硬编码密码分配给“TEST_DEFAULT”常量。
GitLab 硬编码密码分配代码 (BleepingComputer)
据悉,目前并没有迹象表明有用户的账户被盗用。但GitLab 已经创建了一个用来识别可能受影响用户的脚本,并通知该用户及时重置用户密码。
