GitLab剛剛宣布修復一系列重要的安全問題，其中包括一個重要的權限提升。GitLab強烈建議所有安裝了8.2以及后續版本的用戶盡快升級。

GitLab發現了一個嚴重的漏洞，可以讓任何驗證的身份登錄其他用戶的賬戶，包括管理員賬戶。這個漏洞在GitLab8.2版本中被發現，該漏洞提供了一個“冒充”的功能，可以讓管理員冒充其他用戶登錄。

這個漏洞影響到了GitLab8.2.0至8.7.0版本。GitLab工程師Douwe Maan稱這個漏洞是他們至今為止他們遇到的最麻煩的漏洞。

除了提供補丁版本的軟件，GitLab還揭露了幾種方法，可以通過改變web服務器、代理服務器的配置，或是給ruby文件打補丁來進行補丁安裝。例如，對于使用Apache web服務器的用戶，漏洞修復需要按照以下的規則進行：

Order Deny,Allow Deny from all

GitLab還揭露了一些次要嚴重性的漏洞，包括：

通過notes API提升權限，可以在合并請求、片段以及用戶不能訪問到的問題提交notes。 通過project webhook API提升權限，可以讓通過驗證的用戶在個人項目中讀取刪除webhooks。 幾個XSS漏洞以及其他可以導致信息泄露的問題。

InfoQ和GitLab工程副總裁Stan Hu進行了對話，了解到更多關于這次漏洞宣布和GitLab對這個問題的解決方法。

你可以簡短地介紹一下最近公布的GitLab漏洞所產生的影響嗎？

根據我們所了解到的，目前還沒有什么公開性的影響。這些漏洞都在代碼審查環節被GitLab的員工和安全研究人員所發現。

GitLab經常揭露一些漏洞，并對它們遵循一種開放政策。這本身就是一個很大的加分，但有些人擔心GitLab中漏洞的數量很多，并且經常能被發現。你可以就此發表一下評論嗎？

GitLab將持續公開安全漏洞問題。我們最優先修復安全方面的問題，每次我們收到漏洞報告的時候我們都試圖可以盡快解決它。我們有數以百計的貢獻者，無論是工作人員還是志愿者每天都在檢查代碼。

我們每個月都會發布一個新的版本提供一些新功能，修復一些錯誤。我們整體代碼質量很高，我們盡最大努力來檢查每一行代碼，并進行完整的測試。我們邀請到一些網站比如說HackerOne的安全研究人員來幫助我們識別出GitLab中潛在的問題。與專有軟件不同，開源項目意味著我們需要公開我們的安全問題。

可以介紹一下從首次發現漏洞到補丁發布的整個過程嗎？

當我們發現CVE–2016–4340時，我們花了大約一小時進行了內部修復。我們首先給GitLab.com打補丁并迅速在私有倉庫中將一些補丁移植到所有受影響的版本中去。通過e-mail和我們的博客，我們會告訴客戶和公眾安全更新的時間（5月2日23:59　　
UTC，禮拜一），讓大家能準備好進行更新。我們和本地包的維護者共享補丁（例如Debian,、FreeBSD等等），他們都很感謝我們可以事先告知。在5月2日禮拜一，我們發布GitLab包更新，并在博客上詳細介紹不能進行更新的用戶的解決方案。我們發布CVE　　
和MITRE的所有細節。我公開揭露了所有與漏洞相關的代碼和問題。

查看英文原文：GitLab Discloses Critical Vulnerability, Provides Patch