In der aktuellen Version von GITLAB CE gibt es die Möglichkeit, Passwörter hinterlegter Accounts zu extrahieren. Im speziellen geht es um die “Services” welche für die einzelnen Projekte genutzt werden können.
Je nach Service werden Token abgefragt oder User-Accounts. Bei letzteren wird ein Passwort-Feld verwendet.
Ein dort hinterlegtes Passwort wird dem Benutzer aber beim Ändern der Servicekonfiguration wieder mit zurück geschickt im HTML Code. Es wird kein Versuch unternommen dies irgendwie zu verschleiern – was auch bloß nicht gut wäre.
Hier ein Screenshot mit Wireshark
Potential Vulnerability: Service: JetBrains Teamcity CI
GitLab GUI: Project->Service
Mein Kollege war nicht so erfreut darüber und hat sein Passwort für den Service dann “verbrannt” 😉 aber für Demozwecke immer noch brauchbar 😀
Diese Sicherheitslücke habe ich bereits an Gitlab gemeldet. Leider ist man dort der Meinung, dass es kein Sicherheitsproblem ist und möchte die Sache nicht weiter verfolgen.
Update:
Laut GitLab wird dieser Fehler in Version 8.1 behoben sein.
English in short Facts
In the current version of GITLAB CE is the possibillity to extract passwords from others Account. Specifically, it is about the Project-Services. There stored passwords a visible for others if you look into the HTML-source.
You only need is click for editing a service and open the sourceview of your browser.