程序员兼漏洞猎人Wiliam“vakzz”Bowling在GitLab上发现了一个远程代码执行漏洞,该漏洞可能导致服务器上的任意文件被读取,包括敏感信息。GitLab在修复此严重问题后,向Bowling支付了2万美元奖金。此漏洞源于UploadRewriter函数缺乏文件名称和路径的验证检查,攻击者可能利用此漏洞读取或执行任意代码。GitLab在12.91版本中解决了该问题。
程序员兼漏洞猎人 Wiliam “vakzz” Bowling 在 GitLab 平台上发现了一个严重的远程代码执行漏洞,获得了2万美元的奖金。
近日,Bowling 在 HackerOne 漏洞奖励平台上披露了这个漏洞。Bowling 指出,GitLab 用于复制文件的 UploadRewriter 函数是产生该严重问题的源头。
在项目中复制问题 (issue) 时,该函数应检查文件名称和路径。然而,并不存在这种验证检查,从而导致产生可被用于复制任何文件的路径遍历问题。Bowling 指出,如遭利用,该漏洞可被武器化以“读取服务器上的任意文件,包括令牌;非公开数据以及配置信息。”
受该漏洞影响的是 GitLab 实例和 GitLab.com 域名,GitLab 因此在 HackerOne 平台上给出“严重”等级的评估。就在漏洞披露的当天,GitLab 安全团队在解决这个问题的同时决定为 Bowling 颁发1000美元。在解决过程中,Bowling 补充表示,利用任意文件读取 bug 从 GitLab secret_key_base 服务中抓取信息,可导致该问题转变为一个远程代码执行问题。如攻击者将自己的实例 secret_key_base 更改以匹配某个项目,则可操纵 cookie 服务触发 RCE。
GitLab 工程团队复现了该问题。虽然团队注意到攻击者至少得成为项目成员才能利用该漏洞,但GitLab 的一名资深工程师 Heinrich Lee Yu 表示,他们也可仅通过“创建自己的项目/分组的方式实现这个目标”。
该漏洞已在 GitLab 版本12.91 中解决,Bowling 在3月27日获得全部奖励金,而公开报告发布在4月27日。
四个月之前,Bowling 在 GitLab Search API 中发现了一个 bug,可导致将额外的标记注入 git 命令中,有可能导致构造密钥的创建、远程访问和代码执行。GitLab 证实了该问题的存在并颁发1.2万美元的奖励金。
GitLab 安全副总裁 Johnathan Hunt 指出,“非常感谢通过我们的漏洞奖励平台披露漏洞的安全报告提交者们如 vakzz。GitLab 安全团队收到报告后快速修复了该漏洞并在补丁发布30天后将其公开。”
原文来自:https://www.linuxprobe.com/?p=181255
565
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
