Zuhause > Cyber ​​Aktuelles > CVE-2023-7028: GitLab behebt kritische Fehler bei der Kontoentführung
CYBER NEWS

CVE-2023-7028: GitLab behebt kritische Fehler bei der Kontoentführung

durch   |  Letztes Update:  |  0 Kommentare  

GitLab hat wichtige Sicherheitsupdates für seine Community- und Enterprise-Editionen veröffentlicht, um zwei kritische Schwachstellen zu beheben. Eine dieser Schwachstellen birgt das Potenzial für die Kontoentführung ohne Benutzerinteraktion, Dies stellt eine erhebliche Bedrohung für Unternehmen dar, die sich für ihre DevSecOps-Plattform auf GitLab verlassen.

CVE-2023-7028 kritischer Gitlab-Fehler – min

CVE-2023-7028 (Schwere: 10/10)

Das schwerwiegendste Sicherheitsproblem, verfolgt als CVE-2023-7028, sticht hervor mit ein maximaler Schweregrad von 10 von 10.

Dies GitLab-Fehler ermöglicht die Kontoübernahme ohne jegliche Benutzerinteraktion, Dies stellt ein ernstes Risiko für Organisationen dar. Die Schwachstelle liegt in einem Authentifizierungsproblem, das es ermöglicht, Anfragen zum Zurücksetzen von Passwörtern an beliebige Personen zu senden, nicht bestätigte E-Mail-Adressen. Auch wenn Zwei-Faktor-Authentifizierung (2FA) ist aktiv, ein Passwort-Reset ist möglich, Für eine erfolgreiche Anmeldung ist jedoch weiterhin der zweite Authentifizierungsfaktor erforderlich.

CVE-2023-7028 wurde vom Sicherheitsforscher „Asterion“ entdeckt und gemeldet’ über die Bug-Bounty-Plattform HackerOne. Eingeführt im Mai 1, 2023, mit Version 16.1.0, es betrifft mehrere Versionen, einschließlich derer davor 16.7.2. GitLab fordert Benutzer dringend auf, auf die gepatchten Versionen zu aktualisieren (16.7.2, 16.5.6, und 16.6.4) oder wenden Sie den auf Versionen zurückportierten Fix an 16.1.6, 16.2.9, und 16.3.7.

CVE-2023-5356 (Schwere: 9.6/10)

Die zweite kritische Schwachstelle, identifiziert als CVE-2023-5356, trägt ein Schweregrad von 9.6 von 10. Dieser Fehler ermöglicht es Angreifern, Slack/Mattermost-Integrationen auszunutzen, Slash-Befehle als anderer Benutzer ausführen. Sowohl in Mattermost als auch in Slack, Schrägstrichbefehle spielen eine entscheidende Rolle bei der Integration externer Anwendungen und beim Aufrufen von Apps in der Nachrichtenerstellungsbox.




Zusätzlich zu diesen kritischen Schwachstellen, GitLab hat in seiner neuesten Version verschiedene andere Probleme behoben, Version 16.7.2, Inklusive:

CVE-2023-4812: Miteigentümer umgehen (Schwere: Hoch)

Gitlab 15.3 und nachfolgende Versionen waren mit einer Sicherheitslücke mit hohem Schweregrad konfrontiert, bezeichnet als CVE-2023-4812. Dieser Fehler ermöglichte die Umgehung der CODEOWNERS-Genehmigung durch Manipulation zuvor genehmigter Zusammenführungsanfragen. Die Möglichkeit unbefugter Änderungen stellte ein erhebliches Risiko für die Integrität des Versionskontrollsystems dar.

CVE-2023-6955: Zugriffskontrolle für Arbeitsbereiche (Schwere: Bemerkenswert)

Ältere GitLab-Versionen 16.7.2 Es wurde eine unzulässige Zugangskontrolle zu Arbeitsbereichen festgestellt, wie in CVE-2023-6955 hervorgehoben. Dieser Fehler ermöglichte es Angreifern, einen Arbeitsbereich innerhalb einer Gruppe zu erstellen, es mit einem Agenten aus einer völlig anderen Gruppe in Verbindung zu bringen. Die Auswirkungen einer solchen unbefugten Erstellung von Arbeitsbereichen führten zu einer bemerkenswerten Schwachstelle in der Sicherheitsarchitektur von GitLab.

CVE-2023-2030: Commit-Signaturvalidierung (Schwere: Bedeutsam)

Ein Fehler bei der Validierung der Commit-Signatur, kategorisiert unter CVE-2023-2030, Betroffene GitLab CE/EE-Versionen ab 12.2 und weiter. Dieser Fehler stellte ein erhebliches Risiko dar, da er aufgrund von Unzulänglichkeiten im Signaturvalidierungsprozess die Änderung von Metadaten im Zusammenhang mit signierten Commits ermöglichte. Die mögliche Manipulation von Commit-Metadaten gab Anlass zu Bedenken hinsichtlich der allgemeinen Integrität und Authentizität von versioniertem Code.

Milena Dimitrova

Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim

Mehr Beiträge

Folge mir:
Zwitschern

Zusammenhängende Posts:
  1. Gitlab Fixes Session Hijacking Fehler, der zu Cyber-Attacken Exposed Benutzer Angreifer, die darauf abzielten, Benutzer durch Session-Hijacking auszunutzen..
  2. CVE-2022-2884: Kritische Schwachstelle in GitLab ermöglicht Remote-Code-Ausführung GitLab hat eine kritische Schwachstelle für Branches aufgedeckt 15.1, 15.2, und...
  3. Adobe Patches 112 Sicherheitslücken in aktuellem Patch-Paket (CVE-2018-5007) Adobe hat das neueste Patch-Paket veröffentlicht, das eine...
  4. CVE-2022-1680: Kritische Schwachstelle in GitLab ermöglicht Kontoübernahme GitLab has discovered and fixed a highly critical vulnerability that...
  5. Januar 2023 Patch Tuesday behebt den aktiv ausgenutzten CVE-2023-21674 Die ersten von Microsoft ausgelieferten Fixes für den Patch-Dienstag für 2023...
  6. CVE-2020-3382: Cisco behebt kritische Fehler in DCNM und SD-WAN Eine weitere Reihe kritischer Sicherheitslücken in Cisco-Produkten war nur ...
  7. CVE-2023-45866: Apple behebt kritische Sicherheitslücken in iOS und macOS Apple rolled out a comprehensive set of security updates on...
  8. CVE-2023-38547: Kritische Mängel in Veeam Veeam has swiftly responded to security concerns by releasing updates...

Schreibe einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Diese Website verwendet Cookies, um die Benutzererfahrung zu verbessern. Durch die Nutzung unserer Website erklären Sie sich mit allen Cookies gemäß unserer Datenschutz-Bestimmungen.
Genau