Github-Konkurrent: Gitlab behebt Sicherheitslücke mit hartcodiertem Passwort
Der Software-Fehler war in der Implementierung von Nutzer-Registrierungen mittels Omniauth.
Am 31. März hat Gitlab eine neue Sicherheitswarnung veröffentlicht, in der die Entwickler eine nun behobene Lücke preisgeben: Nutzer, die sich mit Omniauth registriert haben, erhielten einen hartcodierten String als Passwort. Dem String "123qweQWE!@#" wurden Variablen hinzugefügt, die entweder auch hartcodiert waren oder die Benutzer selbst definieren konnten. Gitlab rät zu Updates und schließt außerdem weitere Lücken.
The Register schreibt, dass gerade Gitlab-Organisationen mit eigenen Instanzen aufpassen sollten, die ein 12-Buchstaben-Maximum für Passwörter eingestellt haben. So scheint es, dass gerade bei solchen Instanzen immer das Passwort "123qweQWE!@#000000000" für Omniauth-Benutzer genutzt werden könnte.
Omniauth ist ein Authentifizierungs-Framework für Provider wie Oauth, Ldap und Saml. Gitlab hat die Schwachstelle selbst gefunden und behoben. Jegliche Gitlab-Instanzen sollten unverzüglich auf die Versionen 14.9.2, 14.8.5 und 14.7.7 upgedatet werden, heißt es in dem Skript, mit dem betroffene Benutzer identifiziert werden können.
Gitlab an der Börse
Gitlab ist gerade in der Community für freie und quelloffene Software beliebt. Vor zwei Jahren ist das große Projekt KDE dorthin migriert. Das Team versprach sich davon eine stärke Kollaboration.
Im September 2021 hat die Firma hinter Gitlab bekanntgegeben, dass sie an die US-Börse wolle. Dies geschah auch zwei Monate später. Die aktuell offengelegten Sicherheitslücken scheinen keinen Einfluss auf den Börsenwert gehabt zu haben. Auch im Jahr 2021 wurde eine Lücke in Gitlab für 1 TBit/s-DDoS-Angriffe ausgenutzt.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
- ohne Werbung
- mit ausgeschaltetem Javascript
- mit RSS-Volltext-Feed
