GitLab har udgivet vigtige sikkerhedsopdateringer til både dets Community og Enterprise Editions for at modvirke to kritiske sårbarheder. En af disse sårbarheder har potentiale til kontokapring uden brugerinteraktion, udgør en væsentlig trussel mod organisationer, der er afhængige af GitLab til deres DevSecOps-platform.
CVE-2023-7028 (Alvorlighed: 10/10)
Det mest alvorlige sikkerhedsproblem, spores som CVE-2023-7028, skiller sig ud med en maksimal sværhedsgrad på 10 ud af 10.
Dette GitLab fejl giver mulighed for kontoovertagelse uden brugerinteraktion, skabe en alvorlig risiko for organisationer. Sårbarheden ligger i et autentificeringsproblem, der gør det muligt at sende anmodninger om nulstilling af adgangskode til vilkårlig, ubekræftede e-mailadresser. Også selvom to-faktor autentificering (2FA) er aktiv, en nulstilling af adgangskode er mulig, men vellykket login kræver stadig den anden godkendelsesfaktor.
CVE-2023-7028 blev opdaget og rapporteret af sikkerhedsforsker 'Asterion’ via HackerOne bug bounty platformen. Introduceret i maj 1, 2023, med version 16.1.0, det påvirker flere versioner, inklusive dem før 16.7.2. GitLab opfordrer kraftigt brugere til at opdatere til de patchede versioner (16.7.2, 16.5.6, og 16.6.4) eller anvend rettelsen, der er backporteret til versioner 16.1.6, 16.2.9, og 16.3.7.
CVE-2023-5356 (Alvorlighed: 9.6/10)
Den anden kritiske sårbarhed, identificeret som CVE-2023-5356, bærer en sværhedsgrad på 9.6 ud af 10. Denne fejl giver angribere mulighed for at udnytte Slack/Mattermost-integrationer, udføre skråstreg-kommandoer som en anden bruger. Både i Mattermost og Slack, skråstreg-kommandoer spiller en afgørende rolle i at integrere eksterne applikationer og kalde apps i meddelelsesskriverboksen.
Ud over disse kritiske sårbarheder, GitLab har taklet forskellige andre problemer i sin seneste udgivelse, udgave 16.7.2, Herunder:
CVE-2023-4812: KODEEJERE Bypass (Alvorlighed: Høj)
GitLab 15.3 og efterfølgende versioner stod over for en meget alvorlig sårbarhed, betegnet som CVE-2023-4812. Denne fejl tillod omgåelse af CODEOWNERS godkendelse ved at manipulere tidligere sanktionerede fusionsanmodninger. Potentialet for uautoriserede ændringer udgjorde en betydelig risiko for integriteten af versionskontrolsystemet.
CVE-2023-6955: Adgangskontrol til arbejdsområder (Alvorlighed: Bemærkelsesværdig)
GitLab-versioner, der går forud 16.7.2 udvist forkert adgangskontrol vedrørende arbejdsområder, som fremhævet i CVE-2023-6955. Denne fejl gjorde det muligt for angribere at skabe et arbejdsområde inden for én gruppe, forbinder det med en agent fra en helt anden gruppe. Implikationerne af en sådan uautoriseret oprettelse af arbejdsrum introducerede en bemærkelsesværdig sårbarhed i GitLabs sikkerhedsarkitektur.
CVE-2023-2030: Bekræft signaturvalidering (Alvorlighed: Væsentlig)
En valideringsfejl i forpligtelsessignatur, kategoriseret under CVE-2023-2030, berørte GitLab CE/EE-versioner fra 12.2 og videre. Denne fejl udgjorde en betydelig risiko ved at tillade ændring af metadata forbundet med underskrevne forpligtelser på grund af utilstrækkeligheder i signaturvalideringsprocessen. Den potentielle manipulation af commit-metadata rejste bekymringer om den overordnede integritet og ægthed af versionsstyret kode.