Sicherheitslücke in GITLAB ab 8.0 CE

In der aktuellen Version von GITLAB CE gibt es die Möglichkeit, Passwörter hinterlegter Accounts zu extrahieren. Im speziellen geht es um die „Services“ welche für die einzelnen Projekte genutzt werden können.

English below.

Je nach Service werden Token abgefragt oder User-Accounts. Bei letzteren wird ein Passwort-Feld verwendet.

Ein dort hinterlegtes Passwort wird dem Benutzer aber beim Ändern der Servicekonfiguration wieder mit zurück geschickt im HTML Code. Es wird kein Versuch unternommen dies irgendwie zu verschleiern – was auch bloß nicht gut wäre.

Hier ein Screenshot mit Wireshark

Gitlab: Potential Vulnerability: Service: JetBrains Teamcity CI

Potential Vulnerability: Service: JetBrains Teamcity CI

2015-10-12_10h03_38

GitLab GUI: Project->Service

Mein Kollege war nicht so erfreut darüber und hat sein Passwort für den Service dann „verbrannt“ 😉 aber für Demozwecke immer noch brauchbar 😀

Diese Sicherheitslücke habe ich bereits an Gitlab gemeldet. Leider ist man dort der Meinung, dass es kein Sicherheitsproblem ist und möchte die Sache nicht weiter verfolgen.

Update:

Laut GitLab wird dieser Fehler in Version 8.1 behoben sein.

English in short Facts

In the current version of GITLAB CE is the possibillity to extract passwords from others Account. Specifically, it is about the Project-Services. There stored passwords a visible for others if you look into the HTML-source.

You only need is click for editing a service and open the sourceview of your browser.

Über den Autor Danny Sotzny

Hallo, ich bin Danny Sotzny und bin Software- entwickler und Fotograf. Dabei beschäftige ich mich mit aktuellen Technologien und bekannten Problemen. Schwerpunkte setze ich bei der Webentwicklung (PHP/JS) und der Software- entwicklung mit .NET (C#). Der Blog dient für mich selbst als Gedächtnishilfe für typische und alltägliche Probleme, aber auch persönliche Erlebnisse werden veröffentlicht. Ich betreibe zusätzlich noch Foto-Sotzny.de für meine Fotografien und sotzny.net, was meine Webseite für die Softwareentwicklung ist.

Leave a Reply

See also:

%d Bloggern gefällt das: