గిట్‌లాబ్ దుర్బలత్వం సెషన్ దొంగతనం అనుమతిస్తుంది

మళ్ళీ ఇంటర్నెట్‌లో ఒక దుర్బలత్వం కనిపిస్తుంది. ఈ రోజు గిట్‌ల్యాబ్ యొక్క మలుపు. ప్రారంభించిన సెషన్ల దొంగతనం వినియోగదారులకు అనుమతించే హానిని భద్రతా నిపుణులు గుర్తించారు. ఈ భద్రతా లోపాన్ని గుర్తించిన సంస్థ ఇంపెర్వా. మరియు సమస్య యొక్క మూలం కూడా.

GitLab లో దుర్బలత్వం సెషన్ దొంగతనం అనుమతిస్తుంది

వారు వ్యాఖ్యానించినప్పుడు, సమస్య వినియోగదారుల సెషన్లను గుర్తించడానికి ఉపయోగించే టోకెన్‌లో ఉంది. ఈ అంశాన్ని గుర్తించే ID చాలా చిన్నది. ఇది బ్రూట్ ఫోర్స్ దాడి చేయటానికి కారణమవుతుంది మరియు యూజర్ సెషన్‌కు అనుగుణమైన ఐడిని చాలా త్వరగా కనుగొనవచ్చు.

GitLab దుర్బలత్వం

సమస్య ఏమిటంటే, గిట్‌ల్యాబ్ విషయంలో ఈ సమాచారం నాశనం చేయబడదు, చాలా సందర్భాలలో ఇది జరుగుతుంది. ఎందుకంటే ఎవరైనా యూజర్ యొక్క టోకెన్‌ను గుర్తించగలిగితే, వారు వారి ఖాతాతో అన్ని రకాల చర్యలను చేయవచ్చు. మీ సమాచారానికి ప్రాప్యత కలిగి ఉండటంతో పాటు, మీరు దాన్ని సవరించవచ్చు లేదా దానితో అవాంఛిత కొనుగోళ్లు చేయవచ్చు.

గిట్‌ల్యాబ్‌లో ఈ సమాచారాన్ని పొందటానికి వారు ఉపయోగించే మార్గాలలో బ్రూట్ ఫోర్స్ ఒకటి అని వ్యాఖ్యానించారు. ఇతర మార్గాలు కూడా ఉన్నప్పటికీ. టోకెన్ల గడువు ముగియనందున, మరొక మార్గం మ్యాన్-ఇన్-ది-మిడిల్ దాడి. డేటాబేస్లో కోడ్ ఇంజెక్షన్ కూడా ఉపయోగించబడుతుంది. ఈ రకమైన దాడిలో సర్వర్లలో భద్రతా లోపం ఉండాలి. మరియు ఈసారి అలా కాదు.

సమస్యను పరిష్కరించడానికి సంస్థ పని చేయడానికి సిద్ధంగా ఉంది. కొన్ని టోకెన్ ధృవీకరణ చర్యలు జోడించబడ్డాయి. కానీ ప్రస్తుతానికి ఎక్కువ వార్తలు లేవు. GitLab నెల మొత్తం మార్పులను ప్రకటించింది, కాబట్టి ఏమి జరుగుతుందో చూద్దాం.