2022/04/02

Password pré-definida no GitLab permitia roubo de contas

Uma falha no GitLab aplicou uma password pré-definida a alguns utilizadores, possibilitando o roubo fácil das suas contas.

Se é assustador ver as falhas de seguranças de empresas que não percebem de tecnologia, ainda mais o é quando isso também acontece em empresas que não têm desculpa para não saberem o que fazem. Mas, como as recorrentes actualizações de segurança que recebemos semanalmente demonstram, ninguém está imune a isso - e foi a vez da GitLab.

Os utilizadores que registaram conta no GitLab usando OmniAuth (OAuth, LDAP, SAML), ficaram com o indesejado bónuis de lhes ser associado uma password de teste pré-definida.
Ora, com isso, qualquer pessoa poderia usar essa password para entrar em qualquer conta GitLab registada através do OmniAuth, tal como se fosse o dono da mesma, e fazer o que muito bem entendesse.

Os utilizadores deverão actualizar as instalações GitLab para as versões mais recentes (14.9.2, 14.8.5, ou 14.7.7) para evitar esta falha, e o serviço também fez reset às passwords dos utilizadores afectados - embora não revele quantos foram, e diga apenas não ter detectado qualquer tipo de acesso indevido às suas contas.

Sem comentários:

Enviar um comentário (problemas a comentar?)

[pub]