GitLab奖励研究员$20,000来修正远程代码执行错误

GitLab向一名网络安全研究员提供了2万美元奖金，奖励其报告该平台存在严重的远程代码执行漏洞。

这一漏洞是由程序员、漏洞赏金猎人William“vakzz”Bowling在3月23日通过HackerOne漏洞赏金平台私下披露的。

Bowling表示GitLab的UploadsRewriter功能是关键的安全问题的根源，该功能用于复制文件。

当问题跨项目复制时，该函数应该检查文件名和路径。但是，没有进行任何验证检查，这导致了可以用来复制任何文件的路径遍历问题。

根据bug赏金猎人的说法，如果被攻击者利用，这个漏洞可以被武器化为“读取服务器上的任意文件，包括令牌、私有数据和配置”.GitLab实例和GitLab.com域受到该漏洞影响，对HackerOne给予了批评评级。

在披露的同一天，吉特拉布安全团队决定奖励保龄球1000美元的奖金，而分流发生了。

在进行分类时，Bowling补充说，通过使用任意文件读取错误从GitLab
secret_key_base服务获取信息，这个问题可以转化为远程代码执行(RCE)攻击。如果攻击者更改了自己的实例secret_key_base来匹配一个项目，还可以操作cookie服务来触发RCE。

这个漏洞被发送给GitLab的工程团队，他们重现了这个问题。GitLab的高级工程师heinrich Lee Yu表示，尽管团队指出，攻击者至少需要在项目成员处才能利用该漏洞，但他们也可以简单地“创建自己的项目/组来实现这一点”。

TechRepublic:在COVID-19大流行期间，网络安全专业人士正在被重新利用

这个漏洞现在已经在GitLab 12.9.1版本中解决了，3月27日，研究人员将获得全额奖励。这份公开报告于4月27日发布。

四个月前，同一位研究人员披露了GitLab的搜索API中的一个bug，该bug允许在git命令中注入额外的标记，这可能导致创建精心制作的密钥、远程访问和代码执行。吉特拉布承认了这个问题，并给Bowling的关键错误报告1.2万美元奖励金。

ZDNet已经与GitLab取得了联系，我们得到消息后将进行更新。