GitLab 存在高危漏洞,用户私有令牌或遭会话劫持 - 开源中国社区
Float_left Icon_close
GitLab 存在高危漏洞,用户私有令牌或遭会话劫持
王练 2017年09月03日

GitLab 存在高危漏洞,用户私有令牌或遭会话劫持

王练 王练 发布于2017年09月03日 收藏 3

腾讯云 十分钟定制你的第一个小程序>>>  

据外媒近日报道,数据安全公司 Imperva 研究人员丹尼尔·斯瓦特曼(Daniel Svartman)今年 5 月发现开源系统 GitLab 存在一处高危漏洞,能够允许攻击者通过会话劫持窃取用户私有令牌。 直至本周三,GitLab 官方才确认已彻底解决这一问题。

研究人员指出,如果攻击者通过该漏洞成功破解某一帐户,那么他们极有可能获取账户管理权限、转储恶意代码并通过会话劫持窃取用户敏感信息等操作。此外,攻击者还可在执行代码更新时将任何恶意程序嵌入其中。与此同时,由于 GitLab 使用的永久性私有会话令牌永远不会过期,因此当攻击者获取该令牌后受害账户随时可能遭受入侵。另外,值得注意的是,该令牌仅由 20 个字符组成,这使目标账户遭受暴力攻击的几率显著增加。

研究人员表示尚不清楚该漏洞已出现多久,而 GitLab 方面则澄清截止目前并没有用户遭受恶意攻击的案例。GitLab 安全主管 Brian Neel 强调:“ GitLab 现使用的私有令牌只能在与跨站点脚本或其他漏洞相结合时,才会对用户构成威胁。对此,GitLab 官方正积极采取更安全的措施以避免账户会话数据泄露 ”。

稿源:HackerNews.c

本站文章除注明转载外,均为本站原创或编译。欢迎任何形式的转载,但请务必注明出处,尊重他人劳动共创开源社区。
转载请注明:文章转载自 开源中国社区 [http://www.oschina.net]
本文标题:GitLab 存在高危漏洞,用户私有令牌或遭会话劫持
分享
评论(2)
精彩评论
2
文章末尾处应备注 "让我们为您的代码保驾护航 ! git屙屙企业版是您最明智的选择 "
最新评论
0

引用来自“小白小霸王”的评论

文章末尾处应备注 "让我们为您的代码保驾护航 ! git屙屙企业版是您最明智的选择 "
:thumbsup:
2
文章末尾处应备注 "让我们为您的代码保驾护航 ! git屙屙企业版是您最明智的选择 "
顶部