GitLab, herhangi bir kullanıcı etkileşimi gerektirmeden hesapları ele geçirmek için kullanılabilecek bir güvenlik açığı da dahil olmak üzere iki kritik güvenlik açığını gidermek için güvenlik güncellemeleri yayınladı.
Şu şekilde izlendi: CVE-2023-7028kusur CVSS puanlama sisteminde maksimum 10,0 önem derecesi ile ödüllendirilmiştir ve doğrulanmamış bir e-posta adresine şifre sıfırlama e-postaları göndererek hesabın ele geçirilmesini kolaylaştırabilir.
DevSecOps platformu, güvenlik açığının, e-posta doğrulama sürecindeki kullanıcıların ikincil bir e-posta adresi aracılığıyla şifrelerini sıfırlamasına izin veren bir hatanın sonucu olduğunu söyledi.
Aşağıdaki sürümleri kullanan GitLab Community Edition (CE) ve Enterprise Edition’ın (EE) kendi kendini yöneten tüm örneklerini etkiler:
- 16.1 16.1.6’dan önce
- 16.2 16.2.9’dan önce
- 16.3 16.3.7’den önce
- 16.4 16.4.5’ten önce
- 16.5, 16.5.6’dan önce
- 16.6 16.6.4’ten önce
- 16.7 16.7.2’den önce
GitLab, düzeltmeyi 16.1.6, 16.2.9, 16.3.7 ve 16.4.5 sürümlerine desteklemenin yanı sıra GitLab 16.5.6, 16.6.4 ve 16.7.2 sürümlerinde de sorunu çözdüğünü söyledi. Şirket ayrıca hatanın 1 Mayıs 2023’te 16.1.0’da ortaya çıktığını belirtti.
GitLab, “Bu sürümlerde tüm kimlik doğrulama mekanizmaları etkileniyor” dedi. “Ek olarak, iki faktörlü kimlik doğrulamayı etkinleştiren kullanıcılar, parola sıfırlamaya karşı savunmasızdır ancak oturum açmak için ikinci kimlik doğrulama faktörü gerekli olduğundan hesap devralma söz konusu değildir.”
Ayrıca, en son güncellemenin bir parçası olarak GitLab tarafından yamalanan başka bir kritik kusur da (CVE-2023-5356, CVSS puanı: 9,6), kullanıcının Slack/Mattermost entegrasyonlarını kötüye kullanarak eğik çizgi komutlarını başka bir kullanıcı olarak çalıştırmasına izin veriyor.
Olası tehditleri azaltmak için örnekleri mümkün olan en kısa sürede yamalı bir sürüme yükseltmeniz ve özellikle yükseltilmiş ayrıcalıklara sahip kullanıcılar için henüz değilse 2FA’yı etkinleştirmeniz önerilir.