GitLab hat wichtige Sicherheitsupdates für seine Community- und Enterprise-Editionen veröffentlicht, um zwei kritische Schwachstellen zu beheben. Eine dieser Schwachstellen birgt das Potenzial für die Kontoentführung ohne Benutzerinteraktion, Dies stellt eine erhebliche Bedrohung für Unternehmen dar, die sich für ihre DevSecOps-Plattform auf GitLab verlassen.
CVE-2023-7028 (Schwere: 10/10)
Das schwerwiegendste Sicherheitsproblem, verfolgt als CVE-2023-7028, sticht hervor mit ein maximaler Schweregrad von 10 von 10.
Dies GitLab-Fehler ermöglicht die Kontoübernahme ohne jegliche Benutzerinteraktion, Dies stellt ein ernstes Risiko für Organisationen dar. Die Schwachstelle liegt in einem Authentifizierungsproblem, das es ermöglicht, Anfragen zum Zurücksetzen von Passwörtern an beliebige Personen zu senden, nicht bestätigte E-Mail-Adressen. Auch wenn Zwei-Faktor-Authentifizierung (2FA) ist aktiv, ein Passwort-Reset ist möglich, Für eine erfolgreiche Anmeldung ist jedoch weiterhin der zweite Authentifizierungsfaktor erforderlich.
CVE-2023-7028 wurde vom Sicherheitsforscher „Asterion“ entdeckt und gemeldet’ über die Bug-Bounty-Plattform HackerOne. Eingeführt im Mai 1, 2023, mit Version 16.1.0, es betrifft mehrere Versionen, einschließlich derer davor 16.7.2. GitLab fordert Benutzer dringend auf, auf die gepatchten Versionen zu aktualisieren (16.7.2, 16.5.6, und 16.6.4) oder wenden Sie den auf Versionen zurückportierten Fix an 16.1.6, 16.2.9, und 16.3.7.
CVE-2023-5356 (Schwere: 9.6/10)
Die zweite kritische Schwachstelle, identifiziert als CVE-2023-5356, trägt ein Schweregrad von 9.6 von 10. Dieser Fehler ermöglicht es Angreifern, Slack/Mattermost-Integrationen auszunutzen, Slash-Befehle als anderer Benutzer ausführen. Sowohl in Mattermost als auch in Slack, Schrägstrichbefehle spielen eine entscheidende Rolle bei der Integration externer Anwendungen und beim Aufrufen von Apps in der Nachrichtenerstellungsbox.
Zusätzlich zu diesen kritischen Schwachstellen, GitLab hat in seiner neuesten Version verschiedene andere Probleme behoben, Version 16.7.2, Inklusive:
CVE-2023-4812: Miteigentümer umgehen (Schwere: Hoch)
Gitlab 15.3 und nachfolgende Versionen waren mit einer Sicherheitslücke mit hohem Schweregrad konfrontiert, bezeichnet als CVE-2023-4812. Dieser Fehler ermöglichte die Umgehung der CODEOWNERS-Genehmigung durch Manipulation zuvor genehmigter Zusammenführungsanfragen. Die Möglichkeit unbefugter Änderungen stellte ein erhebliches Risiko für die Integrität des Versionskontrollsystems dar.
CVE-2023-6955: Zugriffskontrolle für Arbeitsbereiche (Schwere: Bemerkenswert)
Ältere GitLab-Versionen 16.7.2 Es wurde eine unzulässige Zugangskontrolle zu Arbeitsbereichen festgestellt, wie in CVE-2023-6955 hervorgehoben. Dieser Fehler ermöglichte es Angreifern, einen Arbeitsbereich innerhalb einer Gruppe zu erstellen, es mit einem Agenten aus einer völlig anderen Gruppe in Verbindung zu bringen. Die Auswirkungen einer solchen unbefugten Erstellung von Arbeitsbereichen führten zu einer bemerkenswerten Schwachstelle in der Sicherheitsarchitektur von GitLab.
CVE-2023-2030: Commit-Signaturvalidierung (Schwere: Bedeutsam)
Ein Fehler bei der Validierung der Commit-Signatur, kategorisiert unter CVE-2023-2030, Betroffene GitLab CE/EE-Versionen ab 12.2 und weiter. Dieser Fehler stellte ein erhebliches Risiko dar, da er aufgrund von Unzulänglichkeiten im Signaturvalidierungsprozess die Änderung von Metadaten im Zusammenhang mit signierten Commits ermöglichte. Die mögliche Manipulation von Commit-Metadaten gab Anlass zu Bedenken hinsichtlich der allgemeinen Integrität und Authentizität von versioniertem Code.