Github-Konkurrent: Gitlab behebt Sicherheitslücke mit hartcodiertem Passwort

Der Software-Fehler war in der Implementierung von Nutzer-Registrierungen mittels Omniauth.

Artikel veröffentlicht am , Lennart Mühlenmeier
Gitlab hatte einen String hartcodiert.
Gitlab hatte einen String hartcodiert. (Bild: Pankaj Patel/Unsplash-Lizenz)

Am 31. März hat Gitlab eine neue Sicherheitswarnung veröffentlicht, in der die Entwickler eine nun behobene Lücke preisgeben: Nutzer, die sich mit Omniauth registriert haben, erhielten einen hartcodierten String als Passwort. Dem String "123qweQWE!@#" wurden Variablen hinzugefügt, die entweder auch hartcodiert waren oder die Benutzer selbst definieren konnten. Gitlab rät zu Updates und schließt außerdem weitere Lücken.

Stellenmarkt
  1. Softwareentwickler CAx/CAD/PLM (w/m/d)
    SICK AG, Waldkirch bei Freiburg
  2. Projektmitarbeiter*in Passive Dateninfrastruktur (m/w/d)
    IPB Internet Provider in Berlin GmbH, Berlin
Detailsuche

The Register schreibt, dass gerade Gitlab-Organisationen mit eigenen Instanzen aufpassen sollten, die ein 12-Buchstaben-Maximum für Passwörter eingestellt haben. So scheint es, dass gerade bei solchen Instanzen immer das Passwort "123qweQWE!@#000000000" für Omniauth-Benutzer genutzt werden könnte.

Omniauth ist ein Authentifizierungs-Framework für Provider wie Oauth, Ldap und Saml. Gitlab hat die Schwachstelle selbst gefunden und behoben. Jegliche Gitlab-Instanzen sollten unverzüglich auf die Versionen 14.9.2, 14.8.5 und 14.7.7 upgedatet werden, heißt es in dem Skript, mit dem betroffene Benutzer identifiziert werden können.

Gitlab an der Börse

Gitlab ist gerade in der Community für freie und quelloffene Software beliebt. Vor zwei Jahren ist das große Projekt KDE dorthin migriert. Das Team versprach sich davon eine stärke Kollaboration.

Golem Karrierewelt
  1. C++ Programmierung Grundlagen (keine Vorkenntnisse benötigt): virtueller Drei-Tage-Workshop
    01.-03.08.2022, virtuell
  2. Kubernetes – das Container Orchestration Framework: virtueller Vier-Tage-Workshop
    11.-14.07.2022, Virtuell
Weitere IT-Trainings

Im September 2021 hat die Firma hinter Gitlab bekanntgegeben, dass sie an die US-Börse wolle. Dies geschah auch zwei Monate später. Die aktuell offengelegten Sicherheitslücken scheinen keinen Einfluss auf den Börsenwert gehabt zu haben. Auch im Jahr 2021 wurde eine Lücke in Gitlab für 1 TBit/s-DDoS-Angriffe ausgenutzt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Optibike
E-Bike mit 480 km Reichweite kostet 17.000 Euro

Das E-Bike Optibike R22 Everest setzt mit seinen zwei Akkus auf Reichweite.

Optibike: E-Bike mit 480 km Reichweite kostet 17.000 Euro
Artikel
  1. Krypto-Kriminalität: Behörden fahnden nach Onecoin-Betrügerin
    Krypto-Kriminalität
    Behörden fahnden nach Onecoin-Betrügerin

    Deutsche und internationale Behörden suchen nach den Hintermännern und -frauen von Onecoin. Der Schaden durch Betrug mit der vermeintlichen Kryptowährung geht in die Milliarden.

  2. Hassrede: Bayern will soziale Netzwerke bestrafen
    Hassrede
    Bayern will soziale Netzwerke bestrafen

    Der bayrische Justizminister fordert, bei der Verbreitung von Hassrede auch die Betreiber von sozialen Medien stärker zur Verantwortung zu ziehen.

  3. Prehistoric Planet: Danke, Apple, für so grandiose Dinosaurier!
    Prehistoric Planet
    Danke, Apple, für so grandiose Dinosaurier!

    Musik von Hans Zimmer, dazu David Attenborough als Sprecher: Apples Prehistoric Planet hat einen Kindheitstraum zum Leben erweckt.
    Ein IMHO von Marc Sauter

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Samsung 870 QVO 1 TB 79€ • Prime Video: Filme leihen für 0,99€ • Alternate (u. a. Recaro Rae Essential 429€) • Gigabyte RTX 3080 12 GB ab 1.024€ • Mindstar (u. a. AMD Ryzen 5 5600 179€, Palit RTX 3070 GamingPro 669€) • SanDisk Ultra microSDXC 256 GB ab 14,99€ • Sackboy 19,99€ [Werbung]
    •  /