以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,易安联以及文章作者不承担任何责任。
易安联SRC拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明易安联允许,不得任意修改或增减此文章内容,不得以任何方式将其用于商业目的。
目录
1. GitLab 密码重置漏洞
漏洞详情
1. GitLab 密码重置漏洞
影响组件:
Gitlab是目前被广泛使用的基于git的开源代码管理平台,基于Ruby on Rails构建,主要针对软件开发过程中产生的代码和文档进行管理。
漏洞危害:
未经身份验证的远程攻击者可以利用该漏洞将用户帐户密码重置电子邮件发送至任意邮箱。LDAP 用户不会受到影响,因为没有忘记/重置密码选项。此外,启用了双因素身份验证的用户很容易受到密码重置的影响,但帐户不会被接管,因为需要第二个身份验证因素才能登录。
GitLab CE/EE 16.1.x <= 16.1.5
GitLab CE/EE 16.2.x <= 16.2.8
GitLab CE/EE 16.3.x <= 16.3.6
GitLab CE/EE 16.4.x <= 16.4.4
GitLab CE/EE 16.5.x <= 16.5.6
GitLab CE/EE 16.6.x <= 16.6.4
GitLab CE/EE 16.7.x <= 16.7.2
临时缓解方案:
开启双因素身份验证,可以参考下面链接。
https://docs.gitlab.com/ee/user/profile/account/two_factor_authentication.html。
