Discovering a Session Hijacking Vulnerability in GitLab

Incapsulaのセキュリティ研究者であるDaniel Svartman氏は8月30日(米国時間)、「Discovering a Session Hijacking Vulnerability in GitLab|Incapsula」において、GitLabにセッションハイジャック可能な脆弱性が存在していたと伝えた。同氏は5月18日の時点でGitLabに問題を報告しており、対処が行われるまで情報公開を控えていたとしている。記事では、GitLabに存在していたセッションハイジャックの脆弱性がどのようなものであったか、GitLabがどのような対処をしたかを伝えている。

GitLabとは、Gitベースのリポジトリ管理、問題追跡、コードレビューなどが行えるOSS。

今回発見されたセッションハイジャックは古くから存在している脆弱性の1つ。セッショントークンを窃取されると、ユーザーになりすましてさまざまな操作ができてしまうため注意が必要。Daniel Svartman氏はGitLabを利用する時に自身のセッショントークンがアドレスバーに表示されていることを発見。このセッショントークンを使って正規のユーザー以外が情報にアクセスできることを調査し、この問題を見つけたとしている。

さらに、このセッショントークンには期間が設けられておらず、ログアウトしても同様のトークンが使われていたと指摘。一度セッショントークンを手に入れれば、永続的にアクセスが可能な状態になっていたと説明している。GitLabはDaniel Svartman氏以外からも同様の指摘を受けたとし、対応を実施したとしている。