GitLab CE/EE’deki (CVE-2023-7028) kritik bir güvenlik açığı, saldırganlar tarafından GitLab kullanıcı hesabı şifrelerini sıfırlamak için kolayca kullanılabilir.
Aynı zamanda savunmasız olsa da, hesaplarında iki faktörlü kimlik doğrulamayı etkinleştiren kullanıcılar, hesaplarının ele geçirilmesine karşı güvendedir.
“GitLab.com ve GitLab Dedicated örnekleri de dahil olmak üzere GitLab tarafından yönetilen platformlarda bu güvenlik açığının kötüye kullanıldığını tespit etmedik. Kendi kendini yöneten müşteriler, bu güvenlik açığından yararlanmaya yönelik olası girişimleri kontrol etmek için günlüklerini inceleyebilir,” diye belirtti GitLab güvenlik mühendisi Greg Myers ve nelere dikkat edilmesi gerektiğini özetledi.
CVE-2023-7028 Hakkında
CVE-2023-7028, GitLab Community Edition (CE) ve Enterprise Edition (EE) sürümlerini çalıştıran GitLab kendi kendini yöneten örneklerini etkiler:
- 16.1 16.1.5’ten önce
- 16.2 16.2.8’den önce
- 16.3 16.3.6’dan önce
- 16.4 16.4.4’ten önce
- 16.5, 16.5.6’dan önce
- 16.6 16.6.4’ten önce
- 16.7 16.7.2’den önce
Myers, kullanıcıların şifrelerini ikincil bir e-posta adresi aracılığıyla sıfırlamalarına izin veren bir değişiklik yapıldıktan sonra, “Güvenlik açığı 1 Mayıs 2023’te 16.1.0’da ortaya çıktı” dedi. “Güvenlik açığı, e-posta doğrulama sürecindeki bir hatanın sonucudur.”
CVE-2023-7028, şirketin hata ödül programı aracılığıyla bildirildi ve GitLab CE ve EE 16.7.2, 16.6.4, 16.5.6 sürümlerinde düzeltildi.
GitLab, kendi kendini yöneten GitLab örneklerinin yöneticilerine derhal yamalı bir sürüme yükseltmelerini ve tüm GitLab hesapları için (ve özellikle yönetici hesapları için) 2FA’yı etkinleştirmelerini tavsiye eder.
“Yapılandırmanız SSO’ya ek olarak bir kullanıcı adı ve şifre kullanılmasına izin veriyorsa [single sign-on] seçenekler, o zaman etkilenirsiniz. Parola kimlik doğrulamasının devre dışı bırakılması https://docs.gitlab.com/ee/administration/settings/sign_in_restrictions.html#password-authentication-enabled harici bir kimlik sağlayıcısı yapılandırılmış olan Kendi Kendini Yöneten müşteriler için güvenlik açığını azaltacaktır çünkü bu, parola sıfırlama özelliğini devre dışı bırakacaktır” diye eklediler.
GitLab.com halihazırda yamalı sürümü çalıştırıyor ve şirket, CVE-2023-7028 gibi güvenlik açıklarının gelecekte ortaya çıkmasını önlemek için yeni güvenlik önlemleri aldı.
GitLab tarafından düzeltilen diğer güvenlik açıkları
GitLab CE ve EE 16.7.2, 16.6.4 ve 16.5.6 sürümleri, diğer bazı güvenlik açıklarına yönelik düzeltmeleri de içeren güvenlik sürümleridir:
- CVE-2023-5356, yanlış yetkilendirme kontrollerinden kaynaklanan kritik bir hatadır; bu hata, kullanıcının Slack/Mattermost entegrasyonlarını kötüye kullanarak eğik çizgi komutlarını başka bir kullanıcı gibi yürütmesine olanak tanıyabilir.
- CVE-2023-4812, saldırganların önceden onaylanmış birleştirme isteğine değişiklikler ekleyerek gerekli KOD SAHİBİ onayını atlamasına olanak tanıyabilir
- CVE-2023-6955, bir saldırganın bir grupta başka bir gruptaki bir aracıyla ilişkili bir çalışma alanı oluşturmasına olanak tanıyabilir ve
- CVE-2023-2030, bir saldırganın imzalı taahhütlerin meta verilerini değiştirmesine olanak tanıyabilir.