近日，国家信息安全漏洞库（CNNVD）收到关于GitLab信息泄露漏洞（CNNVD-201703-549）情况的报送，2017 年 03 月 20 日，GitLab官方已针对该漏洞发布安全公告。由于该漏洞影响范围广，危害级别高，国家信息安全漏洞库（CNNVD）对此进行了跟踪分析，情况如下：

一、漏洞简介

        GitLab是一套利用Ruby on Rails开发的开源应用程序，可实现一个自托管的Git（版本控制系统）项目仓库，它拥有与Github类似的功能，可查阅项目的文件内容、提交历史、Bug列表等。

        GitLab多个版本存在信息泄露漏洞（CNNVD-201703-549，CVE-2017-0882）。该漏洞是由于在用户对象序列化过程中对异常处理不当，导致任意用户的 authentication_token 、encrypted_otp_secret、otp_backup_codes等敏感信息遭到泄露。  

        受影响的GitLab具体版本如下：  

          8.7.0至8.15.7版本

          8.16.0至8.16.7版本

          8.17.0至8.17.3版本

二、漏洞危害

        拥有向其他用户发送issue或merge请求权限的攻击者可获取该用户的authentication_token等敏感信息，通过GitLab API并结合上述信息，进而使用该用户权限进行操作。若攻击者获取到管理员的authentication_token后，相当于获取了管理员权限，可获取到GitLab服务器上所有项目的内容并且对所有的项目执行任意操作。

三、修复措施

        目前，GitLab官方已针对该漏洞发布安全公告。请受影响用户及时检查是否受该漏洞影响。

        【升级修复】

        受影响用户可升级至对应的版本8.15.8、8.16.8、8.17.4以消除漏洞影响。

        官方公告：https://about.gitlab.com/2017/03/20/gitlab-8-dot-17-dot-4-security-release/

        升级注意事项：

        由于该漏洞的特殊性， authentication_token可能会被代理或者浏览器缓存。

        受影响用户可参照官方相关链接( https://about.gitlab.com/2017/03/20/gitlab-8-dot-17-dot-4-security-release/ )中的 RakeTask for Resetting User Tokens 部分重置所有的 authentication_token 。

        【临时缓解】

        如用户不方便升级，可采取临时解决方案，具体参见官方公告的Securing via patch部分：

        https://about.gitlab.com/2017/03/20/gitlab-8-dot-17-dot-4-security-release/

        本通报由CNNVD技术支撑单位——北京知道创宇信息技术有限公司、北京长亭科技有限公司提供支持。

        CNNVD将继续跟踪上述漏洞的相关情况，及时发布相关信息。如有需要，可与CNNVD联系。

        联系方式: [email protected]