GitLab 揭露嚴重漏洞，提供更新檔

gitlab剛剛宣布修複一系列重要的安全問題，其中包括一個重要的權限提升。gitlab強烈建議所有安裝了8.2以及後續版本的使用者盡快更新。

gitlab發現了一個嚴重的漏洞，可以讓任何驗證的身份登入其他使用者的賬戶，包括管理者賬戶。這個漏洞在gitlab8.2版本中被發現，該漏洞提供了一個“冒充”的功能，可以讓管理者冒充其他使用者登入。

這個漏洞影響到了gitlab8.2.0至8.7.0版本。gitlab工程師douwe maan稱這個漏洞是他們至今為止他們遇到的最麻煩的漏洞。

除了提供更新檔版本的軟體，gitlab還揭露了幾種方法，可以通過改變web伺服器、代理伺服器的配置，或是給ruby檔案打更新檔來進行更新檔安裝。例如，對于使用apache web伺服器的使用者，漏洞修複需要按照以下的規則進行：

gitlab還揭露了一些次要嚴重性的漏洞，包括：

通過notes api提升權限，可以在合并請求、片段以及使用者不能通路到的問題送出notes。

通過project webhook api提升權限，可以讓通過驗證的使用者在個人項目中讀取删除webhooks。

幾個xss漏洞以及其他可以導緻資訊洩露的問題。

infoq和gitlab工程副總裁stan hu進行了對話，了解到更多關于這次漏洞宣布和gitlab對這個問題的解決方法。

你可以簡短地介紹一下最近公布的gitlab漏洞所産生的影響嗎？

根據我們所了解到的，目前還沒有什麼公開性的影響。這些漏洞都在代碼審查環節被gitlab的員工和安全研究人員所發現。

gitlab經常揭露一些漏洞，并對它們遵循一種開放政策。這本身就是一個很大的加分，但有些人擔心gitlab中漏洞的數量很多，并且經常能被發現。你可以就此發表一下評論嗎？

gitlab将持續公開安全漏洞問題。我們最優先修複安全方面的問題，每次我們收到漏洞報告的時候我們都試圖可以盡快解決它。我們有數以百計的貢獻者，無論是從業人員還是志願者每天都在檢查代碼。

我們每個月都會釋出一個新的版本提供一些新功能，修複一些錯誤。我們整體代碼品質很高，我們盡最大努力來檢查每一行代碼，并進行完整的測試。我們邀請到一些網站比如說hackerone的安全研究人員來幫助我們識别出gitlab中潛在的問題。與專有軟體不同，開源項目意味着我們需要公開我們的安全問題。

可以介紹一下從首次發現漏洞到更新檔釋出的整個過程嗎？

當我們發現cve–2016–4340時，我們花了大約一小時進行了内部修複。我們首先給gitlab.com打更新檔并迅速在私有倉庫中将一些更新檔移植到所有受影響的版本中去。通過e-mail和我們的部落格，我們會告訴客戶和公衆安全更新的時間（5月2日23:59

utc，禮拜一），讓大家能準備好進行更新。我們和本地包的維護者共享更新檔（例如debian,、freebsd等等），他們都很感謝我們可以事先告知。在5月2日禮拜一，我們釋出gitlab包更新，并在部落格上詳細介紹不能進行更新的使用者的解決方案。我們釋出cve

和mitre的所有細節。我公開揭露了所有與漏洞相關的代碼和問題。