GitLab 是一个利用 Ruby on Rails 开发的开源应用程序,实现一个自托管的 Git 项目仓库,可通过 Web 界面进行访问公开的或者私人项目。近日研究者发现在其多个版本中存在文件读取漏洞 (CVE-2016-9086) 和 任意用户 authentication_token 泄漏漏洞,攻击者可以通过这两个漏洞来获取管理员的权限,进而控制所有 gitlab 项目。
影响版本:
任意文件读取漏洞 (CVE-2016-9086):GitLab CE/EEversions 8.9, 8.10, 8.11, 8.12, and 8.13
任意用户 authentication_token 泄露漏洞:Gitlab CE/EE versions 8.10.3-8.10.5
本文在前辈研究基础上只分析任意斍读取漏洞。
从 8.9.0 版本开始,GitLab 新增了导入导出项目的功能。一个空的 gitlab 项目导出后结构如下:
VERSION ? ? ? ? # GitLab 的导出模块的版本
project.json ? ? # 包含了项目的配置文件
当我们导入 GitLab 的导出文件的时候,GitLab 会按照如下步骤处理:
服务器根据 VERSION 文件内容检测导出文件版本,如果版本符合,则导入。
服务器根据 Project.json 文件创建一个新的项目,并将对应的项目文件拷贝到服务器上对应的位置。
检测 VERSION 文件的代码位于:中:
... def check! version=File.open(version_file, &:readline) verify_version!(version) rescue=> e shared.error(e) false end ... def verify_version!(version) if Gem::Version.new(version) !=Gem::Version.new(Gitlab::ImportExport.version) raise Gitlab::ImportExport::Error.new("Import version mi *** atch: Required #{Gitlab::ImportExport.version} but was #{version}") else true end end ...
我们可以看到这里的逻辑是读取 VERSION 文件的之一行赋值给变量 version,然后检测 verison 与当前版本是否相同,相同返回 true,不相同则返回错误信息 (错误信息中包括变量 version 的值). 于是漏洞发现者 Jobert Abma 巧妙的使用了软链接来达到读取任意文件的目的。首先,我们给 VERSION 文件加上软链接并重新打包。
ln -sf /etc/passwd VERSION tar zcf change_version.tar.gz https://www.freebuf.com/articles/web/
这样,读取 VERSION 文件的时候服务器就会根据软链接读取到 /etc/passwd 的之一行内容并赋值给 version。但是由于 version 与当前版本不相同,所以会输出 version 的值,也就是 /etc/passwd 之一行的内容。
但是,如果只读取任意文件的之一行,能做的事情还是太少了。漏洞发现者显然不满足这一结果,他继续找了下去.读取 Project.json 这一配置文件的代码位于:/lib/gitlab/import_export/project_tree_restorer.rb 中:
... def restore json=IO.read(@path) tree_hash=ActiveSupport:: *** ON.decode(json) project_members=tree_hash.delete('project_members') ActiveRecord::Base.no_touching do create_relations end rescue=> e shared.error(e) false end ...
在这里,我们可以再次使用软链接使变量 json 获取到任意文件的内容,但是由于获取的文件不是 json 格式,无法 decode,导致异常抛出,最终在前端显示出任意文件的内容。 添加软链接并打包:
ln -sf /etc/passwd project.json tar zcf change_version.tar.gz https://www.freebuf.com/articles/web/
如下测试环境借助 vulhub 的 docker 镜像,附上 P 师傅的链接:https://github.com/vulhub/vulhub
编译及运行环境:
docker-compose up -d
请使用 2G 及以上内存的 VPS 或虚拟机运行该环境,实测 1G 内存的机器无法正常运行 Gitlab(运行后 502 错误)。
环境运行后,Web 端口为 10080,ssh 端口为 10022。访问 ,设置管理员(用户名 )密码,登录。
新建一个项目,点击 :
将 test.tar.gz上传,将会读取到 文件内容:
漏洞修复
官方先移除了导入包里的软连接,其次,读取 VERSION 的内容和 project.json 的内容出错后将内容输出到日志里而非返回到前端。
https://github.com/gitlabhq/gitlabhq/commit/912e1ff4284eb39fe020b8e823085a2cb7f244fb
http://paper.seebug.org/104/
inurl:help.asp登陆,如未注册成为会员!本年央视3.15晚会曝光了道有道科技公司经过推送歹意程序,使手机用户被莫名扣费的问题,引起了广阔手机用户的高度重视。 进程列表 使命办理器把...
1、 会计人员必须认真遵守法律、法规,按照《会计法》办理会计事务,忠于职守、廉洁奉公,热爱本职工作,尽职尽责。...
爽肤水和化妆水有啥区别吗? 区分化妆水和爽肤水的方法: 化妆水是柔肤水、爽肤水、收敛水、保湿水等等的统称,指使用了洗面奶后,乳液前的那个护肤步骤,具有稳定肌肤、平衡肌肤酸碱性的功效,但各自的侧...
编辑导读:好像在互联网行业,35岁是一个分水岭。一边是年青人多样化的就业方法,一边是本身不绝下降的精神,年近35岁的互联网人,何去何从?本文作者针对这个现象,提出了本身的一点观点,但愿给狐疑的职场人带...
华意压缩机较好。华意压缩机在功能性能、节能、便捷性等方面均比大金风管机要占有优势。华意压缩机的相关介绍具体如。 华意压缩机GH14TR制冷量是多少W?我来答分享新浪微博QQ空间举报1个回答#活动#《...
如果您希望您的网站在谷歌移动平台上快速加载,建议您使用加速移动页面AMP技术。恰好您使用的WordPress建站,那么恭喜您,因为有很多的AMP插件可以使用。更值得高兴的是其中很多插件都是免费的。...