GitLab heeft cruciale beveiligingsupdates uitgebracht voor zowel de Community- als de Enterprise-editie om twee kritieke kwetsbaarheden tegen te gaan. Een van deze kwetsbaarheden kan leiden tot accountkaping zonder gebruikersinteractie, vormt een aanzienlijke bedreiging voor organisaties die afhankelijk zijn van GitLab voor hun DevSecOps-platform.
CVE-2023-7028 (Ernst: 10/10)
Het ernstigste veiligheidsprobleem, bijgehouden als CVE-2023-7028, valt op met een maximale ernstscore van 10 uit 10.
Deze GitLab-fout maakt accountovername mogelijk zonder enige gebruikersinteractie, waardoor een ernstig risico ontstaat voor organisaties. Het beveiligingslek ligt in een authenticatieprobleem waardoor verzoeken voor het opnieuw instellen van wachtwoorden naar willekeurig kunnen worden verzonden, niet-geverifieerde e-mailadressen. Zelfs als tweefactorauthenticatie (2FA) is actief, een wachtwoordreset is mogelijk, maar voor succesvol inloggen is nog steeds de tweede authenticatiefactor vereist.
CVE-2023-7028 werd ontdekt en gerapporteerd door beveiligingsonderzoeker 'Asterion’ via het HackerOne bug bounty-platform. Geïntroduceerd in mei 1, 2023, met versie 16.1.0, het heeft invloed op verschillende versies, inclusief die ervoor 16.7.2. GitLab dringt er bij gebruikers sterk op aan om te updaten naar de gepatchte versies (16.7.2, 16.5.6, en 16.6.4) of pas de oplossing toe die is gebackporteerd op versies 16.1.6, 16.2.9, en 16.3.7.
CVE-2023-5356 (Ernst: 9.6/10)
De tweede kritieke kwetsbaarheid, geïdentificeerd als CVE-2023-5356, draagt een ernstscore van 9.6 uit 10. Door deze fout kunnen aanvallers Slack/Mattermost-integraties misbruiken, slash-opdrachten uitvoeren als een andere gebruiker. Zowel in Mattermost als in Slack, slash-opdrachten spelen een cruciale rol bij het integreren van externe applicaties en het aanroepen van apps in het berichtencomponistvak.
Naast deze kritieke kwetsbaarheden, GitLab heeft in zijn nieuwste release verschillende andere problemen aangepakt, versie 16.7.2, Inclusief:
CVE-2023-4812: CODEEIGENAARS Bypass (Ernst: Hoog)
GitLab 15.3 en daaropvolgende versies hadden te maken met een zeer ernstige kwetsbaarheid, aangeduid als CVE-2023-4812. Door deze fout kon de goedkeuring van CODEOWNERS worden omzeild door eerder goedgekeurde fusieverzoeken te manipuleren. De kans op ongeoorloofde wijzigingen vormde een aanzienlijk risico voor de integriteit van het versiebeheersysteem.
CVE-2023-6955: Toegangscontrole voor werkruimten (Ernst: Opmerkelijk)
GitLab-versies van vóór 16.7.2 vertoonde onjuiste toegangscontrole met betrekking tot Werkruimten, zoals benadrukt in CVE-2023-6955. Door deze fout konden aanvallers binnen één groep een werkruimte creëren, door het te associëren met een agent uit een geheel andere groep. De implicaties van het ongeoorloofd creëren van werkruimte introduceerden een opmerkelijke kwetsbaarheid in de beveiligingsarchitectuur van GitLab.
CVE-2023-2030: Validatie van handtekening vastleggen (Ernst: Significant)
Een validatiefout bij het vastleggen van handtekeningen, gecategoriseerd onder CVE-2023-2030, getroffen GitLab CE/EE-versies vanaf 12.2 en verder. Deze fout bracht een aanzienlijk risico met zich mee omdat het de wijziging van metagegevens die verband houden met ondertekende commits mogelijk maakte vanwege tekortkomingen in het handtekeningvalidatieproces. De mogelijke manipulatie van commit-metagegevens gaf aanleiding tot bezorgdheid over de algehele integriteit en authenticiteit van versiegestuurde code.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: