Github-Konkurrent: Gitlab behebt Sicherheitslücke mit hartcodiertem Passwort

Der Software-Fehler war in der Implementierung von Nutzer-Registrierungen mittels Omniauth.

Artikel veröffentlicht am , Lennart Mühlenmeier
Gitlab hatte einen String hartcodiert.
Gitlab hatte einen String hartcodiert. (Bild: Pankaj Patel/Unsplash-Lizenz)

Am 31. März hat Gitlab eine neue Sicherheitswarnung veröffentlicht, in der die Entwickler eine nun behobene Lücke preisgeben: Nutzer, die sich mit Omniauth registriert haben, erhielten einen hartcodierten String als Passwort. Dem String "123qweQWE!@#" wurden Variablen hinzugefügt, die entweder auch hartcodiert waren oder die Benutzer selbst definieren konnten. Gitlab rät zu Updates und schließt außerdem weitere Lücken.

Stellenmarkt
  1. IT-Projektmanager / Digitalisierungsmanager (m/w/d)
    über Hays AG, Herdecke
  2. (Junior) Android Developer (m/w/d) InsurTech
    CHECK24, Hamburg
Detailsuche

The Register schreibt, dass gerade Gitlab-Organisationen mit eigenen Instanzen aufpassen sollten, die ein 12-Buchstaben-Maximum für Passwörter eingestellt haben. So scheint es, dass gerade bei solchen Instanzen immer das Passwort "123qweQWE!@#000000000" für Omniauth-Benutzer genutzt werden könnte.

Omniauth ist ein Authentifizierungs-Framework für Provider wie Oauth, Ldap und Saml. Gitlab hat die Schwachstelle selbst gefunden und behoben. Jegliche Gitlab-Instanzen sollten unverzüglich auf die Versionen 14.9.2, 14.8.5 und 14.7.7 upgedatet werden, heißt es in dem Skript, mit dem betroffene Benutzer identifiziert werden können.

Gitlab an der Börse

Gitlab ist gerade in der Community für freie und quelloffene Software beliebt. Vor zwei Jahren ist das große Projekt KDE dorthin migriert. Das Team versprach sich davon eine stärke Kollaboration.

Golem Karrierewelt
  1. Informationssicherheit in der Automobilindustrie nach VDA-ISA und TISAX® mit Zertifikat: Zwei-Tage-Workshop
    22./23.11.2022, Virtuell
  2. Java EE 8 Komplettkurs: virtueller Fünf-Tage-Workshop
    22.-26.08.2022, virtuell
Weitere IT-Trainings

Im September 2021 hat die Firma hinter Gitlab bekanntgegeben, dass sie an die US-Börse wolle. Dies geschah auch zwei Monate später. Die aktuell offengelegten Sicherheitslücken scheinen keinen Einfluss auf den Börsenwert gehabt zu haben. Auch im Jahr 2021 wurde eine Lücke in Gitlab für 1 TBit/s-DDoS-Angriffe ausgenutzt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Mercedes-Benz EQE im Praxistest
Im Wendekreis des Polo

Die Businesslimousine EQE von Mercedes-Benz überzeugt im Praxistest mit hoher Reichweite und Komfort. Doch welchen Schnickschnack braucht man wirklich?
Ein Praxistest von Friedhelm Greis

Mercedes-Benz EQE im Praxistest: Im Wendekreis des Polo
Artikel
  1. Windows XP: Janet Jacksons Popsong brachte Laptops zum Absturz
    Windows XP
    Janet Jacksons Popsong brachte Laptops zum Absturz

    Einmal laut Rhythm Nation gehört, schon stürzte Windows XP ab: Microsoft-Entwickler Chen erzählt vom skurillen Verhalten alter Notebooks.

  2. Post-Quanten-Kryptografie: Die neuen Kryptoalgorithmen gegen Quantencomputer
    Post-Quanten-Kryptografie
    Die neuen Kryptoalgorithmen gegen Quantencomputer

    Die US-Behörde NIST standardisiert neue Public-Key-Algorithmen - um vor zukünftigen Quantencomputern sicher zu sein.
    Eine Analyse von Hanno Böck

  3. Spider-Man Remastered: Dateien enthalten Hinweise auf Playstation PC Launcher
    Spider-Man Remastered
    Dateien enthalten Hinweise auf Playstation PC Launcher

    Sony arbeitet an einem Launcher für Playstation-Spiele auf Windows-PC. Das dürfte weitreichende Folgen haben.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • PS5 bestellbar bei Amazon & Co. • MSI Geburtstags-Rabatte auf Gaming-Monitore & PCs • Neuer Saturn-Flyer • Game of Thrones reduziert • MindStar (MSI RTX 3070 599€) • Günstig wie nie: Zotac RTX 3080 12GB 829€, Samsung SSD 1TB/2TB (PS5) 111€/199,99€ • Bester 2.000€-Gaming-PC[Werbung]
    •  /