Af Eskil Sørensen, 15/01/24
GitLab har udsendt sikkerhedsopdateringer til håndtering af to kritiske sårbarheder, hvoraf den ene kan udnyttes til at overtage konti uden brugerinteraktion.
Det skriver The Hacker News og en række andre medier.
Sårbarheden har id’et CVE-2023-7028 og en CVSS-score på 10. Det fremgår, at den kan udnyttes ved fremsendelse af e-mails med nulstilling af adgangskode til en ubekræftet e-mailadresse. Fejlen findes i email-bekræftelsesprocessen, som gør det muligt for brugere at nulstille deres adgangskode via en sekundær e-mailadresse.
Sårbarheden påvirker alle selvadministrerede forekomster af GitLab Community Edition (CE) og Enterprise Edition (EE), men er rettet i GitLab-versionerne 16.5.6, 16.6.4 og 16.7.2, ligesom rettelsen er ’backporteret’ til version 16.1.6, 16.2.9, 16.3.7 og 16.4.5. Fejlen blev blev introduceret i 16.1.0 i maj 2023, fremgår det.
GitLab oplyser, at brugere, der har aktiveret tofaktorautentificering, er også sårbare over for nulstilling af adgangskode, men ikke kontoovertagelse, da den anden godkendelsesfaktor er påkrævet for at logge ind.
Den anden kritiske sårbarhed, som GitLab har patchet, har id’et CVE-2023-5356 og en CVSS-score på 9,6. Den gør det muligt for en bruger at misbruge Slack/Mattermost-integrationer til at udføre skråstreg-kommandoer som en anden bruger.
GitLab anbefaler at opgradere de sårbare versioner af GitLab CE og EE og aktivere tofaktorlogin 2FA, hvis man ikke har gjort det allerede.
Links:
https://www.bleepingcomputer.com/news/security/gitlab-warns-of-critical-...
https://www.darkreading.com/vulnerabilities-threats/gitlab-releases-upda...
https://thehackernews.com/2024/01/urgent-gitlab-releases-patch-for.html
https://www.helpnetsecurity.com/2024/01/12/cve-2023-7028/
https://securityaffairs.com/157389/security/gitlab-zero-click-account-hi...