Ginny Hà
VIP Members
-
04/06/2014
-
88
-
689 bài viết
GitLab vá lỗi rò rỉ dữ liệu nhóm riêng tư
Một chuyên gia vừa được trao tặng 3000 USD nhờ phát hiện và thông báo lỗ hổng bảo mật nghiêm trọng tới GitLab. Theo đó, vấn đề trên GitLab khiến không thể xóa code khỏi kết quả tìm kiếm Elasticsearch API khi chuyển nhóm công khai sang nhóm riêng tư.
Người phát hiện lỗ hổng - Riccardo "rpadovani" Padovani cho biết vấn đề xảy ra khi quản lý dự án chuyển một nhóm công khai sang trạng thái riêng tư. Đúng ra khi đó code và wiki liên quan đến dự án phải được khóa lại, nhưng lỗ hổng khiến các dữ liệu này vẫn có thể truy cập thông qua các API tìm kiếm.
Padovani mô tả: “Ví dụ như, Alice tạo một nhóm công khai “Example” và một dự án công khai “Example-project”. Trong readme của dự án, Alice viết “Example”. Sau đó, Alice tạo một nhóm riêng tư “private”, và chuyển tất cả nhóm “Example” sang nhóm “private”. Nếu Bob (không hề liên quan đến Alice) tìm kiếm “private” thì sẽ không thấy kết quả, nhưng nếu anh ấy sử dụng API sẽ thu được kết quả với các thông tin riêng tư”.
GitLab đã phân tích và xác nhận vấn đề trên, trao số tiền thưởng là 3000 USD cho người phát hiện và phát hành bản vá GitLab 12.5.4.
Người phát hiện lỗ hổng - Riccardo "rpadovani" Padovani cho biết vấn đề xảy ra khi quản lý dự án chuyển một nhóm công khai sang trạng thái riêng tư. Đúng ra khi đó code và wiki liên quan đến dự án phải được khóa lại, nhưng lỗ hổng khiến các dữ liệu này vẫn có thể truy cập thông qua các API tìm kiếm.
Padovani mô tả: “Ví dụ như, Alice tạo một nhóm công khai “Example” và một dự án công khai “Example-project”. Trong readme của dự án, Alice viết “Example”. Sau đó, Alice tạo một nhóm riêng tư “private”, và chuyển tất cả nhóm “Example” sang nhóm “private”. Nếu Bob (không hề liên quan đến Alice) tìm kiếm “private” thì sẽ không thấy kết quả, nhưng nếu anh ấy sử dụng API sẽ thu được kết quả với các thông tin riêng tư”.
GitLab đã phân tích và xác nhận vấn đề trên, trao số tiền thưởng là 3000 USD cho người phát hiện và phát hành bản vá GitLab 12.5.4.
Theo ZDnet