Уязвимость GitLab позволяла захватывать пользовательские домены

Уязвимость GitLab позволяла захватывать пользовательские домены

Исследователю в области безопасности удалось захватить сотни доменов GitLab всего за несколько секунд. Это стало возможным из-за того, как компания обрабатывала верифицирование домена. На данный момент эта проблема устранена.

GitLab позволяет разработчикам взаимодействовать с исходным кодом и разработкой проектов, также предоставляя возможность размещать собственный контент и проекты с пользовательским доменным именем.

Однако 5 февраля стало известно, что никакой проверки не выполняется в момент, когда пользователь добавляет домен к своим учетным записям GitLab. Домен может быть захвачен за тот короткий период, когда пользовательский домен будет указывать на недавно удаленный или невостребованный репозиторий GitLab.

Эдвин Фудиль (Edwin Foudil), известный под онлайн-псевдонимом EdOverflow, являющийся основателем фирмы, занимающейся вопросами безопасности Penultimate, использовал отчет об ошибке от 1-го ферваля, который содержал код proof-of-concept, в котором перечислены уязвимые пользовательские домены, указывающие на GitLab.

Поскольку GitLab позволяет указывать неограниченное количество доменов для одного репозитория, Фудиль написал короткий скрипт, который помог ему захватить неограниченное количество доменов.

«Это позволило мне захватить 700 доменов и поддоменов за одну минуту», — утверждает специалист.

Этого было достаточно для того, чтобы разработчики GitLab обратили внимание на эту проблему, устранив ее впоследствии.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Google забанил популярные Linux-браузеры в своих сервисах

Google планирует запретить использование некоторых популярных браузеров для систем Linux в своих сервисах — интернет-гигант считает их небезопасными. Под нож попали: Konqueror, Falkon и Qutebrowser.

На данный момент непонятно, когда именно запрет вступит в силу, однако пользователи площадки Reddit уже распространили всю известную информацию.

Отдельные исследователи, в числе которых BleepingComputer, подтвердили, что в сервисы Google нельзя войти через браузеры Konqueror и Falkon. Причём эксперты тестировали это на разных устройствах.

Текст сообщения от Google гласит:

«Не получилось войти. Данный браузер или приложение могут быть небезопасны. Попробуйте использовать другую программу для входа в сервис».

Однако отдельные пользователи (например, здесь и здесь) сообщили, что могут аутентифицироваться в сервисах Google, используя Falkon.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru