Github-Konkurrent: Gitlab behebt Sicherheitslücke mit hartcodiertem Passwort
Am 31. März hat Gitlab eine neue Sicherheitswarnung veröffentlicht(öffnet im neuen Fenster) , in der die Entwickler eine nun behobene Lücke preisgeben: Nutzer, die sich mit Omniauth registriert haben, erhielten einen hartcodierten String als Passwort. Dem String "123qweQWE!@#" wurden Variablen hinzugefügt, die entweder auch hartcodiert waren oder die Benutzer selbst definieren konnten. Gitlab rät zu Updates und schließt außerdem weitere Lücken.
The Register schreibt(öffnet im neuen Fenster) , dass gerade Gitlab-Organisationen mit eigenen Instanzen aufpassen sollten, die ein 12-Buchstaben-Maximum für Passwörter eingestellt haben. So scheint es, dass gerade bei solchen Instanzen immer das Passwort "123qweQWE!@#000000000" für Omniauth-Benutzer genutzt werden könnte.
Omniauth ist ein Authentifizierungs-Framework für Provider wie Oauth, Ldap und Saml. Gitlab hat die Schwachstelle selbst gefunden und behoben(öffnet im neuen Fenster) . Jegliche Gitlab-Instanzen sollten unverzüglich auf die Versionen 14.9.2, 14.8.5 und 14.7.7 upgedatet werden, heißt es in dem Skript(öffnet im neuen Fenster) , mit dem betroffene Benutzer identifiziert werden können.
Gitlab an der Börse
Gitlab ist gerade in der Community für freie und quelloffene Software beliebt. Vor zwei Jahren ist das große Projekt KDE dorthin migriert . Das Team versprach sich davon eine stärke Kollaboration.
Im September 2021 hat die Firma hinter Gitlab bekanntgegeben , dass sie an die US-Börse wolle. Dies geschah auch zwei Monate später(öffnet im neuen Fenster) . Die aktuell offengelegten Sicherheitslücken scheinen keinen Einfluss auf den Börsenwert gehabt zu haben. Auch im Jahr 2021 wurde eine Lücke in Gitlab für 1 TBit/s-DDoS-Angriffe ausgenutzt .
- Anzeige Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.