惯性聚合 高效追踪和阅读你感兴趣的博客、新闻、科技资讯
阅读原文 在惯性聚合中打开

推荐订阅源

博客园 - 聂微东
Threat Intelligence Blog | Flashpoint
Threat Intelligence Blog | Flashpoint
L
LangChain Blog
钛媒体:引领未来商业与生活新知
钛媒体:引领未来商业与生活新知
博客园 - 司徒正美
WordPress大学
WordPress大学
T
The Blog of Author Tim Ferriss
Blog — PlanetScale
Blog — PlanetScale
J
Java Code Geeks
Y
Y Combinator Blog
H
Hackread – Cybersecurity News, Data Breaches, AI and More
GbyAI
GbyAI
Vercel News
Vercel News
大猫的无限游戏
大猫的无限游戏
T
Tailwind CSS Blog
Jina AI
Jina AI
B
Blog
Recorded Future
Recorded Future
MyScale Blog
MyScale Blog
I
InfoQ
aimingoo的专栏
aimingoo的专栏
博客园_首页
OSCHINA 社区最新新闻
OSCHINA 社区最新新闻
The Cloudflare Blog
雷峰网
雷峰网
奇客Solidot–传递最新科技情报
奇客Solidot–传递最新科技情报
腾讯CDC
爱范儿
爱范儿
Last Week in AI
Last Week in AI
博客园 - 三生石上(FineUI控件)
博客园 - Franky
Schneier on Security
Schneier on Security
V
V2EX
TaoSecurity Blog
TaoSecurity Blog
H
Hacker News: Front Page
Cloudbric
Cloudbric
D
DataBreaches.Net
B
Blog RSS Feed
P
Palo Alto Networks Blog
云风的 BLOG
云风的 BLOG
NISL@THU
NISL@THU
I
Intezer
Recent Commits to openclaw:main
Recent Commits to openclaw:main
Cyberwarzone
Cyberwarzone
F
Fortinet All Blogs
D
Darknet – Hacking Tools, Hacker News & Cyber Security
C
Cybersecurity and Infrastructure Security Agency CISA
C
Cisco Blogs
K
Kaspersky official blog
Forbes - Security
Forbes - Security

GitLab

基于 Claude Code 的 GitLab CI 代码评审 - V2EX 求助,怎么恢复 Gitlab 账户 - V2EX 登梯子访问 Gitlab 怎么也会被删除账户吗? - V2EX 一觉醒来, GitLab 账户被删除了 - V2EX gitlab 停止中国区服务是真的吗?我没有收到通知 - V2EX gitlab.com 上的账户被禁用了,有没有办法申述? - V2EX 问题求助: Gitlab 如何触发分支自动合并 - V2EX GitLab 可以装在 windows 上吗? - V2EX 如何实现百分比的阶梯递进式发布? - V2EX 求助, gitlab pipeline 同时推了三个,服务器干爆了 - V2EX 极狐要收费了 - V2EX 本地部署的 gitlab,系统源代码文件出现异常字符 - V2EX gitlab ce 为什么需要如此高的配置 - V2EX 小伙伴把我们的 homelab 服务器误格式化了,自建 gitlab 服务仅 git-data 仓库逃过一劫,不知道是否有办法恢复? - V2EX GitLab 一键自动化完整数据的备份 - V2EX 用 Gitlab-ci 配置 testcontainers 进行自动单元测试,流水线脚本到底怎么写啊…… - V2EX Gitlab 社区版定制化开发,有做过的 V 友吗,一般是通过什么方式进行二次开发? - V2EX 添加 ssh key 时被提示“Fingerprint has already been taken” - V2EX GitLab Docker 升级问题 - V2EX 求助: gitlab 的工程怎么按分支给开发人员分配权限呢 - V2EX Gitlab 专业版与旗舰版的区别 - V2EX 请教如何保护.gitlab-ci.yaml 不会被其他人修改和 cicd 流程安全 - V2EX 国内极狐 Gitlab 代理 - V2EX 自建 GitLab,用 Docker CE 还是 EE 版本? - V2EX 为什么 gitlab.new 重定向到 gitee - V2EX V2EX 在 gitlab-runner 中进行 electron 应用打包时发生 RequestError: socket hang up - V2EX 思细级恐啊,我们自己搭的 gitlab 的都被黑了! - V2EX gitlab/gitee 等平台有办法设置自动拉取 github 仓库内容并同步吗? - V2EX 请教一下, Gitlab 删除项目问题 - V2EX 在群晖上搭建 GitLab 的可行性和潜在风险 - V2EX GitLab 自动设置保护分支也太鸡肋了吧 - V2EX GitLab 项目的 Storage 是怎么计算的? - V2EX 请教, gitlab CI 预检构建的实践 - V2EX 求助!为 docker 里的 gitlab 做远程备份一直不成功 - V2EX 求指教 gitlab 正确的开机自启方式 (排除 /etc/rc.local 尽量使用 systemd) - V2EX gitlab 的强制跳转到 2FA 页面 bug 的解决 - V2EX Gitlab-CI 是否支持 MR 的测试覆盖率达到某个百分比才可以合并? - V2EX 请问如果通过 git 指令统计每个用户的代码贡献量 - V2EX GitLab 如何通过 WebHook 获取单次 Push 的所有 Commit (超过 20 条)? - V2EX gitlab 可以作为容器镜像仓库用吗? - V2EX 有用 Gitlab CI 做自动构建的吗,目前支持根据 commit-id 构建 pipline 吗 - V2EX 关于 git 合并代码的一些疑问。 - V2EX 搭建内部 Gitlab, 20 人团队,求大佬推荐服务器 - V2EX gitlab 仓库创建时间不对,求解 - V2EX 咨询一个关于 gitlab-模版工程管理的办法? - V2EX gitlab ci 如何检测 job 执行失败尼? - V2EX gitlab Runner 使用的疑惑,希望大佬们看下。 - V2EX
gitlab 被攻击了!求大佬进来分析一下 - V2EX
raysonlu · 2021-08-13 · via GitLab

这是一个创建于 1766 天前的主题,其中的信息可能已经有所发展或是发生改变。

收到一个安全监控警告:

img

高亮部分就是一串命令,用 gitlab-rails runner 执行了一个创建管理员的命令!

gitlab 版本是 CE 的 13.10.2

里面的项目,没有用过 hook,也没有用流水线,因为团队的都不会用。

目前对于这个安全事故排查毫无头绪,完全不知道怎样注入,怎样执行的,有无大佬指导一下(哭

hly9469

3

hly9469      2021 年 8 月 13 日 via iPhone

你指着大佬一个个字母敲来复现?哈哈哈哈

Rwing

5

Rwing      2021 年 8 月 13 日

1.不要开放外网
2.勤升级,他们团队一周一个补丁不是闹着玩的

raysonlu

6

raysonlu      2021 年 8 月 13 日

@Rwing gitlab 的安全性这么感人的吗?安排升级操作了,但想知道怎么死也没办法?

jay4497

7

jay4497      2021 年 8 月 13 日

既然没人用流水线,就把 runner 服务关掉吧,没那么多事

raysonlu

8

raysonlu      2021 年 8 月 13 日

@jay4497 怎样关闭 runner 服务?目前只是各个项目里面关闭了流水线功能。

raysonlu

9

raysonlu      2021 年 8 月 13 日

@jay4497 但我对这个命令是不是流水线作为入口,进行注入并执行的,也不太确定,找不到任何的蛛丝马迹。

polaa

10

polaa      2021 年 8 月 13 日

和关不关 runner 无关

你这版本这么低

看一下 gitlab security release 就有一些 code injection

polaa

13

polaa      2021 年 8 月 13 日

最新一个 release

GitLab Security Release: 14.1.2, 14.0.7, and 13.12.9 for GitLab Community Edition (CE)

raysonlu

14

raysonlu      2021 年 8 月 13 日

@polaa 想知道怎样获取这些信息,以及如何更新小版本?网上看到更新的方法,都是备份,然后重装?

polaa

15

polaa      2021 年 8 月 13 日

官网都有吧

yw9381

16

yw9381      2021 年 8 月 13 日 via Android

看了下应该大概能给你复原出来攻击场景,首先你的 gitlab 应该是开放了注册或者有人有弱口令。之后攻击者创建或是修改了某个仓库,并在其中加入了.gitlab-ci.yml 。然后触发了 ci 操作。因为你 gitlab 和 gitlab runner 都在一个机器上部署。所以 runmer 是可以访问到本机的 pgsql 的。攻击者在 runner 的 ci 脚本里写了那句 sh -c xxxx 。在 4 楼的解码后也可以看到攻击者创建了一个名为 dexbcx 的管理员用户。后续的攻击动作因为没提供更多信息就不得而知了。
也有可能整个事情是个误报。你只是想创建一个名为 dexbcx 的管理员用户。结果 gitlab 对创建用户的底层实现是通过 sh -c 的形式运行命令(这条感觉不太可能)

yw9381

17

yw9381      2021 年 8 月 13 日 via Android

个人觉得这是一个安全配置问题。并不算是有漏洞。安全缺陷和漏洞是两码事。不过还是建议你们内部自查一下弱口令这些。还有相应的权限管控。

raysonlu

18

raysonlu      2021 年 8 月 13 日

@yw9381 没有开放注册。如果必须要通过上传或修改一个.gitlab-ci.yml 文件的话,是不是我能在每个项目中找回这个记录?

raysonlu

19

raysonlu      2021 年 8 月 13 日

@polaa 在官网逛了很久,确实没找到,麻烦大佬贴一下路径,或者链接?

raysonlu

20

raysonlu      2021 年 8 月 13 日

@yw9381 补充一下,我逐个项目看,找不到.gitlab-ci.yml 文件,以及在 /var/opt/gitlab/git-data/repositories 路径中,find ./ -name "*gitlab*",找不到。

polaa

21

polaa      2021 年 8 月 13 日

about gitlab com/releases
docs gitlab com/ce/update

加上 .

简单说一下 你这个版本收到各种 XSS 未授权访问操作 文件上传 信息泄露等漏洞影响

这些漏洞组合起来存在很多攻击方式

举例:
Stealing GitLab OAuth access tokens using XSLeaks in Safari
Unauthenticated CI lint API may lead to information disclosure and SSRF
Remote code execution when uploading specially crafted image files

raysonlu

22

raysonlu      2021 年 8 月 13 日

@polaa 怪不得我看 gitlab 的访问日志中,超多类似“{domain}/项目组名 /项目名字.git/info/refs?service=git-upload-pack”的路径访问,而且 IP 都是境外!
另外想问一下,我现在的 13.10.2,我是应该升级到 13.12.9,还是 14 的最新版本呢?

wangkun025

26

wangkun025      2021 年 8 月 13 日

就创建了一个管理员级别的用户。然后估计可以为所欲为了。反正 git 的 repo 应该都被查看过了。
如果习惯好的话,只是代码泄露,应该还好。

locoz

27

locoz      2021 年 8 月 13 日 via Android

暴露在公网的服务如果没有额外的保护措施就必须跟最新版本走,有任何安全更新必须立即更新,要不然就很容易被批量攻击拿下…

raysonlu

28

raysonlu      2021 年 8 月 13 日

@zhighest 我简单解读一下,任意账号密码 get 请求一下{domain}/users/sign_in,获得一个 token,然后尝试拿 token 去尝试 post 请求这个地址正式登录,如果成功,就继续创建包含命令的图片,并尝试上传到{domain}/uploads/user 。如果是这样的话,我是否能在服务器里面的哪个地方找到上传的图呢?

raysonlu

29

raysonlu      2021 年 8 月 13 日

@zhighest 另外,大佬贴的后面两张图是啥意思?大佬也遇到这个情况了?有个访问 IP 跟我这边的一模一样哦!~

loki13

31

loki13      2022 年 2 月 25 日

gitlab 不同版本各种漏洞,技术支持力度不够的话,自建自管理风险真还挺高的。。。国内的话可以考虑下阿里腾讯的公有云服务,至少有人给兜底。