GitLab ha rilasciato aggiornamenti di sicurezza cruciali sia per la versione Community che per quella Enterprise per contrastare due vulnerabilità critiche. Una di queste vulnerabilità può potenzialmente causare il dirottamento dell'account senza interazione da parte dell'utente, rappresentando una minaccia significativa per le organizzazioni che si affidano a GitLab per la loro piattaforma DevSecOps.
CVE-2023-7028 (Gravità: 10/10)
Il problema di sicurezza più grave, tracciato come CVE-2023-7028, si distingue con un punteggio di gravità massimo pari a 10 su 10.
Questo Difetto di GitLab consente il controllo dell'account senza alcuna interazione da parte dell'utente, creando un grave rischio per le organizzazioni. La vulnerabilità risiede in un problema di autenticazione che consente l'invio di richieste di reimpostazione della password ad arbitrari, indirizzi email non verificati. Anche se l'autenticazione a due fattori (2FA) è attivo, è possibile reimpostare la password, ma l'accesso riuscito richiede ancora il secondo fattore di autenticazione.
CVE-2023-7028 è stato scoperto e segnalato dal ricercatore di sicurezza "Asterion".’ tramite la piattaforma bug bounty di HackerOne. Presentato a maggio 1, 2023, con versione 16.1.0, ha effetto su diverse versioni, compresi quelli precedenti 16.7.2. GitLab esorta vivamente gli utenti ad aggiornare alle versioni con patch (16.7.2, 16.5.6, e 16.6.4) oppure applicare la correzione sottoposta a backport alle versioni 16.1.6, 16.2.9, e 16.3.7.
CVE-2023-5356 (Gravità: 9.6/10)
La seconda vulnerabilità critica, identificato come CVE-2023-5356, porta un punteggio di gravità pari a 9.6 su 10. Questa falla consente agli aggressori di sfruttare le integrazioni Slack/Mattermost, eseguendo comandi slash come un altro utente. Sia in Mattermost che in Slack, i comandi barra svolgono un ruolo cruciale nell'integrazione di applicazioni esterne e nel richiamo di app nella casella di composizione dei messaggi.
Oltre a queste vulnerabilità critiche, GitLab ha affrontato vari altri problemi nella sua ultima versione, versione 16.7.2, Compreso:
CVE-2023-4812: CODEOWNER Bypass (Gravità: Alto)
GitLab 15.3 e le versioni successive presentavano una vulnerabilità di gravità elevata, indicato come CVE-2023-4812. Questo difetto ha consentito di eludere l'approvazione di CODEOWNERS manipolando richieste di fusione precedentemente approvate. La possibilità di modifiche non autorizzate rappresentava un rischio significativo per l'integrità del sistema di controllo della versione.
CVE-2023-6955: Controllo dell'accesso agli spazi di lavoro (Gravità: Notevole)
Versioni GitLab precedenti 16.7.2 ha mostrato un controllo degli accessi improprio relativo agli spazi di lavoro, come evidenziato in CVE-2023-6955. Questa falla ha consentito agli aggressori di creare uno spazio di lavoro all'interno di un gruppo, associandolo a un agente di un gruppo completamente diverso. Le implicazioni di tale creazione non autorizzata di spazi di lavoro hanno introdotto una notevole vulnerabilità nell'architettura di sicurezza di GitLab.
CVE-2023-2030: Impegna la convalida della firma (Gravità: Significativo)
Un difetto di convalida della firma di commit, classificato sotto CVE-2023-2030, versioni GitLab CE/EE interessate a partire da 12.2 e avanti. Questo difetto presentava un rischio significativo consentendo la modifica dei metadati associati ai commit firmati a causa di inadeguatezze nel processo di convalida della firma. La potenziale manipolazione dei metadati di commit ha sollevato preoccupazioni circa l'integrità e l'autenticità complessive del codice controllato dalla versione.