近日,发现开源代码管理平台Gitblit存在未授权访问漏洞,默认配置下,未经身份认证的用户可查看、下载存储在该平台的系统源代码,同时该平台默认的管理员账号密码是弱口令,也可导致存储的源代码泄露。鉴于漏洞高危且可能有较多软件开发相关企业采用Gitblit平台进行源代码管理,请各地各部门排查自身以及项目承包商或软件提供商是否使用了Gitblit,是否因默认配置而受漏洞影响,并组织及时开展漏洞修补、风险防范工作,以免发生源代码等项目重要资产失窃的安全事件。
处置建议:一是修改admin用户的默认密码为强口令;二是修改GitBlit平台默认访问权限,设置为经认证用户才可访问;三是在GitBlit上创建代码仓库时将访问策略配置为“限制查看,克隆和推送”,只向授权的用户或团队开放相关权限。
