Новости Звёздочка вместо адреса — и любой станет админом. Разбираем ошибку в настройках Gitea

NewsMaker

I'm just a script
Премиум
28,134
46
8 Ноя 2022
Настройка «доверяй всем» чуть не подставила тысячи разработчиков.

<div class="articl-text-cover" style="position:relative;width:100%;max-width:800px;margin-left:auto;margin-right:auto;aspect-ratio:800/450;margin-bottom:2rem;overflow:hidden">
skkxo9sp8mm8j7jwjr78d895et6z3d2y.jpg

Уязвимость в Gitea уже начали проверять злоумышленники, и опасность особенно заметна для серверов, которые открыты в интернет и работают в Docker-контейнерах. По данным Sysdig , уязвимость впервые попытались эксплуатировать через 13 дней после того, как проблему раскрыли публично.

Ошибка CVE-2026-20896 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H — 9.8 Critical) затрагивает Docker-образы Gitea до версии 1.26.2 включительно. Gitea используют для размещения и совместной разработки программного кода, поэтому взлом такого сервера может дать атакующим доступ к проектам, учетным записям и внутренним данным команд.

Уязвимость возникла из-за того, как настроили обратный прокси. В шаблоне файла app.ini для Docker-образов параметр доверенных прокси по умолчанию задали как «*». Из-за этого сервер фактически доверял запросам с любого IP-адреса. Если администратор включал вход через обратный прокси, злоумышленник мог отправить специальный заголовок X-WEBAUTH-USER и выдать себя за любого известного или угаданного пользователя без пароля и токена.

Специалист по безопасности Али Мустафа, который обнаружил и сообщил о проблеме, пояснил , что если автоматическая регистрация была включена, имя администратора давало права администратора. Безопасное значение параметра должно ограничивать доверенные прокси локальным интерфейсом, но официальный Docker-образ использовал более опасную настройку.

Gitea выпустила исправление в версии 1.26.3 в конце июня. В новой версии разработчики убрали подстановочный символ «*», а вход через обратный прокси сделали необязательной функцией, которую нужно включать отдельно.

Sysdig зафиксировала , что уязвимость впервые попытались эксплуатировать с IP-адреса сервиса анонимизации трафика. По словам компании, активность пока похожа на начальную разведку и не перешла в полноценную атаку. При этом в интернете доступно около 6200 экземпляров Gitea, поэтому администраторам рекомендуют как можно быстрее обновить Docker-образы и проверить настройки обратного прокси.
 
Источник новости
www.securitylab.ru

Похожие темы