Gitlab-sårbarhet tillater øktstyveri

Igjen finnes en sårbarhet på Internett. I dag er det GitLabs tur. Sikkerhetseksperter har oppdaget en sårbarhet som tillater tyveri av startet økter til brukere. Imperva er selskapet som har oppdaget denne sikkerhetsfeilen. Og også problemets opprinnelse.

Sårbarhet i GitLab tillater øktstyveri

Mens de kommenterer, ligger problemet i symbolet som brukes til å markere øktene til brukerne. ID-en som identifiserer dette elementet er for kort. Dette fører til at et brute force-angrep blir utført og ID-en som tilsvarer brukerens økt kan bli funnet veldig raskt.

GitLab-sårbarhet

Problemet er at når det gjelder GitLab blir ikke denne informasjonen ødelagt, noe som skjer i de fleste tilfeller. For hvis noen klarer å identifisere brukerens symbol, kan de utføre alle slags handlinger med kontoen sin. I tillegg til å ha tilgang til informasjonen din, kan du endre den eller foreta uønskede kjøp med den.

Det er blitt kommentert at brute force er en av måtene de bruker for å få tak i denne informasjonen i GitLab. Selv om det også er andre måter. En annen måte er med et Man-in-the-Middle-angrep, siden symbolene ikke utløper. En kodeinjeksjon vil også bli brukt i databasen. Selv om det i denne typen angrep må være en sikkerhetsfeil på serverne. Og det virker som det ikke er tilfelle denne gangen.

Selskapet har arbeidet med å løse problemet. Noen bekreftelsestiltak er lagt til. Men for øyeblikket er det ikke flere nyheter. GitLab har kunngjort endringer gjennom måneden, så vi får se hva som skjer.