A GitLab biztonsági frissítéseket adott két kritikus sebezhetőség kezelésére, köztük egy olyanra, amely a felhasználói beavatkozás nélkül fiókok átvételére használható ki.
A CVE-2023-7028 néven nyomon követhető hiba a CVSS pontozási rendszerben a maximális 10.0 értéket kapta, és megkönnyítheti a fiókok átvételét azáltal, hogy jelszó visszaállítási e-maileket küld egy nem ellenőrzött e-mail címre. A CVE-2023-7028 sérülékenységet a vállalat bug bounty programján keresztül jelentették, és a GitLab CE és EE 16.7.2, 16.6.4, 16.5.6 verzióiban már javították.
A GitLab azt tanácsolja a saját kezelésű GitLab példányok adminisztrátorainak, hogy azonnal frissítsenek a javított verzióra, és engedélyezzék a 2FA-t minden GitLab fiókra (különösen a rendszergazdai fiókokat).
A GitLab.com-on már a javított verzió fut, és a vállalat új biztonsági intézkedéseket vezetett be annak érdekében, hogy a CVE-2023-7028-hoz hasonló sebezhetőségek a jövőben ne fordulhassanak elő.
Bár szintén sebezhető, a fiókjukon kétfaktoros hitelesítést engedélyező felhasználók biztonságban vannak a fiókok átvételétől.
A CVE-2023-7028 a GitLab Community Edition (CE) és Enterprise Edition (EE) verziókat futtató GitLab önmenedzselt 16.1.1.6 előtti, 16.2.2.9 előtti, 16.3.7 előtti, 16.4.4.5 előtti, 16.5.5.6 előtti, 16.6.4.4 előtti és 16.7.2 előtti 16.7.2 előtti verziókat érinti.
A GitLab CE és EE 16.7.2, 16.6.4 és 16.5.6 verziójú biztonsági kiadások több más sebezhetőség javítását is tartalmazzák:
CVE-2023-5356: egy kritikus hiba, amelyet a hibás jogosultsági ellenőrzések okoznak, ami lehetővé teszi, hogy egy felhasználó visszaéljen a Slack/Mattermost integrációkkal, hogy egy másik felhasználóként slash parancsokat hajtson végre.
A CVE-2023-4812: lehetővé teheti a támadók számára, hogy megkerüljék a CODEOWNERS által megkövetelt jóváhagyást azáltal, hogy módosításokat adnak hozzá egy korábban jóváhagyott egyesítési kérelemhez.
CVE-2023-6955: lehetővé teheti egy támadó számára, hogy egy olyan munkaterületet hozzon létre egy csoportban, amely egy másik csoportból származó agent-hez kapcsolódik.
CVE-2023-2030: lehetővé teheti egy támadó számára, hogy módosítsa az aláírt commitok metaadatait.
