GitLab, kritik ve kullanımı önemsiz bir hesap devralma hatasını düzeltti.
CVE-2023-7028’in saldırı vektörü parola sıfırlama işlevidir.
Kuruluş, bir danışma belgesinde “Kullanıcı hesabı şifre sıfırlama e-postaları doğrulanmamış bir e-posta adresine teslim edilebilir” uyarısında bulundu.
Hesap devralma kullanıcı müdahalesi gerektirmez ve GitLab, tek oturum açma zorunluluğu olmayan tüm kullanıcıların savunmasız olduğunu söyledi.
Uyarı belgesinde, “Yapılandırmanız SSO seçeneklerine ek olarak bir kullanıcı adı ve parolanın kullanılmasına izin veriyorsa bu durumdan etkilenirsiniz” ifadesine yer verildi.
GitLab, herhangi bir açıktan haberdar olmadığını söylese de hata, 16.1.0 sürümünün ilk gönderildiği Mayıs 2023’ten bu yana mevcut.
Bu sürüm, kullanıcıların ikincil bir e-posta adresi aracılığıyla parola sıfırlama işlemi yapmasına olanak tanıyan bir özellik sunuyordu.
16.1’den önceki 16.1.6, 16.2.9’dan önceki 16.2, 16.3.7’den önceki 16.3, 16.4.5’ten önceki 16.4, 16.5.6’dan önceki 16.5, 16.6’dan önceki 16.6 ve 16.6’dan önceki kendi kendini yöneten GitLab CE/EE sürümlerini etkiler. .4 ve 16.7, 16.7.2’den önce.
Saldırgan aynı zamanda 2FA kimlik doğrulayıcısını da kontrol etmediği sürece, iki faktörlü kimlik doğrulamayı çalıştıran kullanıcılar, hesap devralma işleminden muaftır; ancak saldırganlar, yama uygulanmamış örneklerde yine de şifre sıfırlamaları tetikleyebilir.
Kullanıcı düzeltmeyi hemen uygulayamazsa, azaltıcı tek önlem sistemin harici bir kimlik sağlayıcı kullanmasını gerektirir; bu durumda tüm parola kimlik doğrulama seçeneklerini devre dışı bırakabilir.
Sorun, acil eylem öneren Avustralya Sinyal Müdürlüğü’nün dikkatini çekti.
Diğer düzeltmeler
Sürümdeki diğer güvenlik düzeltmeleri CVE-2023-5356, CVE-2023-4812, CVE-2023-6955 ve CVE-2023-2030’u kapsamaktadır.
CVE-2023-5356, 2016 yılında GitLab 8.13’ün piyasaya sürülmesiyle ortaya çıkan bir kimlik doğrulama hatasıdır ve “bir kullanıcının, başka bir kullanıcı gibi eğik çizgi komutlarını yürütmek için Slack/Mattermost entegrasyonlarını kötüye kullanmasına olanak tanır”.
GitLab’ın tavsiye belgesi CVE-2023-5356’ya CVSS puanı 7,3 verirken, Ulusal Güvenlik Açığı Veri Tabanı girişi 9,6 olarak puanlıyor.
15.3 (Ağustos 2022’de yayınlandı) ile 16.5.5 arasındaki sürümler de CVE-2023-4812’ye (CVSS puanı 7,6) tabidir; bu, saldırganın “önceden onaylanmış bir birleştirme isteğine değişiklik ekleyerek” “CODEOWNERS” onayını atlamasına olanak tanır.
CVE-2023-6955 (CVSS puanı 6.6), GitLab Remote Development’taki uygunsuz bir erişim kontrolü güvenlik açığıdır ve 16.5.6’dan önceki tüm sürümleri, 16.6.4’ten önceki 16.6 ve 16.7.2’den önceki 16.7 sürümlerini etkiler; CVE-2023-2030 (CVSS puanı 3,5), bir saldırganın 16.5.6’dan önceki 12.2, 16.6.4’ten önceki 16.6 ve 16.7.2’den önceki 16.7’deki tüm sürümlerdeki imzalı taahhütlerin meta verilerini değiştirmesine olanak tanır.