GitLab 向報告自家平臺的嚴重遠程代碼執行漏洞的安全研究人員獎勵了 2 萬美元。該漏洞由William "vakzz" Bowling 發現，Bowling 既是一名程序員同時也是 Bug 賞金獵人，他于 3 月 23 日通過 HackerOne Bug 賞金平臺私密披露了該漏洞。

　　Bowling 表示，GitLab 的 UploadsRewriter 函數用于拷貝文件，而這正是此次嚴重安全問題的源頭。當 issue 被用于跨項目復制時，UploadsRewriter 函數會檢查文件名和補丁。然而在這過程中由于沒有驗證檢查，導致出現路徑遍歷問題，這可能會被利用于復制任何文件。

　　根據 Bug 賞金獵人的說法，如果漏洞被攻擊者利用，則可能會被用于"讀取服務器上的任意文件，包括 token、私有數據和配置"。GitLab 實例和 GitLab.com 域均受到該漏洞的影響，此漏洞被 HackerOne 判定為嚴重等級程度。

　　Bowling 補充到，通過使用任意文件讀取漏洞從 GitLab 的 secret_key_base 服務中抓取信息，可以將該漏洞變成遠程代碼執行（RCE）攻擊。舉例來說，如果攻擊者改變了自己實例的 secret_key_base 以匹配項目，那么 cookie 服務也可以被操縱以用于觸發 RCE 攻擊。

　　Bowling 將漏洞發送給了 GitLab 安全團隊，工程師們重現了此問題，并指出攻擊者至少需要成為項目成員才能利用該漏洞，但根據 GitLab 高級工程師 Heinrich Lee Yu 的說法，攻擊者也可以"創建自己的項目或組別來達到同樣的目的"。

　　目前，該漏洞已經在 GitLab 12.9.1 版本中得到了解決，安全研究人員 Bowling 也于 3 月 27 日獲得了全額賞金。

總結

以上是生活随笔為你收集整理的GitLab 向报告远程代码执行漏洞的研究员奖励 2 万美元的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。