GitLab, herhangi bir kullanıcı etkileşimi gerektirmeden hesapları ele geçirmek için kullanılabilecek bir güvenlik açığı da dahil olmak üzere iki kritik güvenlik açığını gidermek için güvenlik güncellemeleri yayınladı.
Şu şekilde izlendi: CVE-2023-7028kusur CVSS puanlama sisteminde maksimum 10,0 önem derecesi ile ödüllendirilmiştir ve doğrulanmamış bir e-posta adresine şifre sıfırlama e-postaları göndererek hesabın ele geçirilmesini kolaylaştırabilir.
DevSecOps platformu, güvenlik açığının, e-posta doğrulama sürecindeki kullanıcıların ikincil bir e-posta adresi aracılığıyla şifrelerini sıfırlamasına izin veren bir hatanın sonucu olduğunu söyledi.
Aşağıdaki sürümleri kullanan GitLab Community Edition (CE) ve Enterprise Edition’ın (EE) kendi kendini yöneten tüm örneklerini etkiler:
- 16.1 16.1.6’dan önce
- 16.2 16.2.9’dan önce
- 16.3 16.3.7’den önce
- 16.4 16.4.5’ten önce
- 16.5, 16.5.6’dan önce
- 16.6 16.6.4’ten önce
- 16.7 16.7.2’den önce
GitLab, düzeltmeyi 16.1.6, 16.2.9, 16.3.7 ve 16.4.5 sürümlerine desteklemenin yanı sıra GitLab 16.5.6, 16.6.4 ve 16.7.2 sürümlerinde de sorunu çözdüğünü söyledi. Şirket ayrıca hatanın 1 Mayıs 2023’te 16.1.0’da ortaya çıktığını belirtti.
GitLab “Bu sürümlerde tüm kimlik doğrulama mekanizmaları etkileniyor” söz konusu. “Ek olarak, iki faktörlü kimlik doğrulamayı etkinleştiren kullanıcılar, parola sıfırlamaya karşı savunmasızdır ancak oturum açmak için ikinci kimlik doğrulama faktörü gerekli olduğundan hesap devralma söz konusu değildir.”
Ayrıca, en son güncellemenin bir parçası olarak GitLab tarafından yamalanan başka bir kritik kusur da (CVE-2023-5356, CVSS puanı: 9,6) bir kullanıcının kötüye kullanmasına olanak tanır Gevşek/En önemlisi Eğik çizgi komutlarını başka bir kullanıcı olarak yürütmek için entegrasyonlar.
Olası tehditleri azaltmak için örnekleri mümkün olan en kısa sürede yamalı sürüme yükseltmeniz ve özellikle yükseltilmiş ayrıcalıklara sahip kullanıcılar için (henüz değilse) 2FA’yı etkinleştirmeniz önerilir.