有关GitLab漏洞情况的通报
发布日期: 2017-03-24

近日,国家信息安全漏洞库(CNNVD)收到关于GitLab信息泄露漏洞(CNNVD-201703-549)情况的报送,2017 年 03 月 20 日,GitLab官方已针对该漏洞发布安全公告。由于该漏洞影响范围广,危害级别高,国家信息安全漏洞库(CNNVD)对此进行了跟踪分析,情况如下:
        一、漏洞简介
        GitLab是一套利用Ruby on Rails开发的开源应用程序,可实现一个自托管的Git(版本控制系统)项目仓库,它拥有与Github类似的功能,可查阅项目的文件内容、提交历史、Bug列表等。
        GitLab多个版本存在信息泄露漏洞(CNNVD-201703-549,CVE-2017-0882)。该漏洞是由于在用户对象序列化过程中对异常处理不当,导致任意用户的 authentication_token 、encrypted_otp_secret、otp_backup_codes等敏感信息遭到泄露。 
        受影响的GitLab具体版本如下: 
          8.7.0至8.15.7版本
          8.16.0至8.16.7版本
          8.17.0至8.17.3版本
        二、漏洞危害
        拥有向其他用户发送issue或merge请求权限的攻击者可获取该用户的authentication_token等敏感信息,通过GitLab API并结合上述信息,进而使用该用户权限进行操作。若攻击者获取到管理员的authentication_token后,相当于获取了管理员权限,可获取到GitLab服务器上所有项目的内容并且对所有的项目执行任意操作。
        三、修复措施
        目前,GitLab官方已针对该漏洞发布安全公告。请受影响用户及时检查是否受该漏洞影响。
        【升级修复】
        受影响用户可升级至对应的版本8.15.8、8.16.8、8.17.4以消除漏洞影响。
        官方公告:https://about.gitlab.com/2017/03/20/gitlab-8-dot-17-dot-4-security-release/
        升级注意事项:
        由于该漏洞的特殊性, authentication_token可能会被代理或者浏览器缓存。 受影响用户可参照官方相关链接( https://about.gitlab.com/2017/03/20/gitlab-8-dot-17-dot-4-security-release/ )中的 RakeTask for Resetting User Tokens 部分重置所有的 authentication_token 。
        【临时缓解】
        如用户不方便升级,可采取临时解决方案,具体参见官方公告的Securing via patch部分:
        https://about.gitlab.com/2017/03/20/gitlab-8-dot-17-dot-4-security-release/

本通报由CNNVD技术支撑单位——北京知道创宇信息技术有限公司、北京长亭科技有限公司提供支持。
        CNNVD将继续跟踪上述漏洞的相关情况,及时发布相关信息。如有需要,可与CNNVD联系。
        联系方式: cnnvd@itsec.gov.cn