CVE-2023-7028: GitLab、アカウントハイジャックの重大な欠陥を修正

GitLab は、2 つの重大な脆弱性に対処するために、コミュニティ エディションとエンタープライズ エディションの両方に重要なセキュリティ アップデートをリリースしました。. これらの脆弱性の 1 つは、ユーザーの介入なしにアカウントがハイジャックされる可能性があります。, DevSecOps プラットフォームとして GitLab に依存している組織にとって重大な脅威となる.

CVE-2023-7028 (重大度: 10/10)

最も深刻なセキュリティ問題, CVE-2023-7028として追跡される, で目立つ 最大重大度スコア 10 から 10.

これ GitLab の欠陥 ユーザーの操作なしでアカウントの乗っ取りが可能, 組織に深刻なリスクをもたらす. この脆弱性は、パスワード リセット要求を任意のユーザーに送信できるようにする認証の問題にあります。, 未確認のメールアドレス. 二要素認証であっても (2FA) アクティブです, パスワードのリセットが可能です, ただし、ログインに成功するには 2 番目の認証要素が必要です.

CVE-2023-7028 は、セキュリティ研究者「Asterion」によって発見され、報告されました。’ HackerOne バグ報奨金プラットフォーム経由. 5月に導入 1, 2023, バージョン付き 16.1.0, 複数のバージョンに影響を与える, それ以前のものも含めて 16.7.2. GitLab はユーザーにパッチ適用済みのバージョンに更新することを強く推奨しています (16.7.2, 16.5.6, と 16.6.4) または、バージョンにバックポートされた修正を適用します 16.1.6, 16.2.9, と 16.3.7.

CVE-2023-5356 (重大度: 9.6/10)

2 番目の重大な脆弱性, CVE-2023-5356 として識別される, 運ぶ 重症度スコア 9.6 から 10. この欠陥により、攻撃者は Slack/Mattermost の統合を悪用できます。, 別のユーザーとしてスラッシュコマンドを実行する. Mattermost と Slack の両方で, スラッシュ コマンドは、外部アプリケーションを統合し、メッセージ作成ボックスでアプリケーションを呼び出す際に重要な役割を果たします。.

---

これらの重大な脆弱性に加えて、, GitLab は最新リリースで他のさまざまな問題に取り組んでいます, バージョン 16.7.2, 含む:

CVE-2023-4812: CODEOWNERS バイパス (重大度: 高い)

GitLab 15.3 以降のバージョンでは重大度の高い脆弱性が発生しました, CVE-2023-4812 として示されます. この欠陥により、以前に認可されたマージ リクエストを操作することで CODEOWNERS の承認を回避することができました。. 不正な変更が行われる可能性により、バージョン管理システムの整合性が重大なリスクにさらされる.

CVE-2023-6955: ワークスペースのアクセス制御 (重大度: 注目すべき)

以前の GitLab バージョン 16.7.2 ワークスペースに関して不適切なアクセス制御が行われた, CVE-2023-6955 で強調表示されているとおり. この欠陥により、攻撃者は 1 つのグループ内にワークスペースを作成できるようになりました。, まったく異なるグループのエージェントと関連付けること. このような無許可のワークスペース作成の影響により、GitLab のセキュリティ アーキテクチャに顕著な脆弱性が導入されました。.

CVE-2023-2030: コミット署名の検証 (重大度: 重要な)

コミット署名検証の欠陥, CVE-2023-2030 に分類されています, 影響を受ける GitLab CE/EE バージョン以降 12.2 そしてさらに先へ. この欠陥は、署名検証プロセスの不備により、署名付きコミットに関連付けられたメタデータの変更を可能にするという重大なリスクをもたらしました。. コミットメタデータの操作の可能性により、バージョン管理されたコードの全体的な整合性と信頼性に関する懸念が生じました.