GitLab Runner 注册令牌的机密密钥或令牌泄露

描述

响应体中包含与已弃用的 GitLab Runner 注册令牌模式匹配的内容。这些令牌允许用户将 runner 注册到选定的项目中。拥有此令牌的恶意行为者可以向流水线添加自定义 runner，如果使用了该 runner，可能会危及仓库安全。暴露此值可能允许攻击者访问此令牌授予的所有资源。

修复方法

有关处理密钥泄露安全事件的通用指导，请参阅 GitLab 文档中的 凭据暴露到互联网。

要轮换 runner 注册令牌：

• 登录您的 GitLab 账户并创建 runner 注册令牌的项目
• 在左侧菜单中，选择 “设置”
• 在 “设置” 选项下，选择 “CI/CD”
• 在 “Runners” 部分，选择 “New project runner” 旁边的汉堡菜单（垂直省略号）
• 从下拉列表中选择 “重置注册令牌”
• 在提示时，在 “重置注册令牌” 对话框中选择 “重置令牌”

有关更多信息，请参阅 GitLab 文档中关于使用 runner 认证令牌的内容。

详情

链接

• CWE