Η ευπάθεια του Gitlab επιτρέπει την κλοπή της περιόδου σύνδεσης

Και πάλι υπάρχει ευπάθεια στο Διαδίκτυο. Σήμερα είναι η σειρά του GitLab. Οι ειδικοί ασφαλείας έχουν εντοπίσει μια ευπάθεια που επιτρέπει την κλοπή αρχικών περιόδων λειτουργίας στους χρήστες. Η Imperva είναι η εταιρεία που έχει εντοπίσει αυτό το ελάττωμα ασφαλείας. Και επίσης την προέλευση του προβλήματος.

Το θέμα ευπάθειας στο GitLab επιτρέπει την κλοπή της περιόδου σύνδεσης

Όπως σχολιάζουν, το πρόβλημα έγκειται στο σύμβολο που χρησιμοποιείται για τη σήμανση των περιόδων σύνδεσης των χρηστών. Το αναγνωριστικό που αναγνωρίζει αυτό το στοιχείο είναι πολύ μικρό. Αυτό προκαλεί μια επίθεση βίαιης δύναμης και το αναγνωριστικό που αντιστοιχεί στη συνεδρία του χρήστη μπορεί να βρεθεί πολύ γρήγορα.

GitLab ευπάθεια

Το πρόβλημα είναι ότι στην περίπτωση του GitLab αυτές οι πληροφορίες δεν καταστρέφονται, κάτι που συμβαίνει στις περισσότερες περιπτώσεις. Επειδή αν κατορθώσει κάποιος να αναγνωρίσει ένα διακριτικό χρήστη ενός χρήστη, θα μπορούσε να πραγματοποιήσει κάθε είδους ενέργεια με το λογαριασμό του. Εκτός από την πρόσβαση στις πληροφορίες σας, μπορείτε να την τροποποιήσετε ή να πραγματοποιήσετε ανεπιθύμητες αγορές μαζί της.

Έχει σχολιαστεί ότι η βίαιη δύναμη είναι ένας από τους τρόπους που χρησιμοποιούν για να αποκτήσουν αυτές τις πληροφορίες στο GitLab. Παρόλο που υπάρχουν και άλλοι τρόποι. Ένας άλλος τρόπος είναι με μια επίθεση με τον άνθρωπο στη μέση, δεδομένου ότι τα μάρκες δεν λήγουν. Μια ένεση κώδικα θα χρησιμοποιηθεί επίσης στη βάση δεδομένων. Αν και σε αυτόν τον τύπο επίθεσης πρέπει να υπάρξει ένα σφάλμα ασφαλείας στους διακομιστές. Και φαίνεται ότι αυτή τη φορά δεν συμβαίνει.

Η εταιρεία έχει θέσει να εργαστεί για την επίλυση του προβλήματος. Έχουν προστεθεί ορισμένα μέτρα επαλήθευσης συμβόλων. Αλλά αυτή τη στιγμή δεν υπάρχουν άλλα νέα. Το GitLab ανακοίνωσε αλλαγές καθόλη τη διάρκεια του μήνα, οπότε θα δούμε τι θα συμβεί.