GitLab lançou atualizações de segurança cruciais para suas edições Community e Enterprise para neutralizar duas vulnerabilidades críticas. Uma dessas vulnerabilidades tem potencial para sequestro de conta sem interação do usuário, representando uma ameaça significativa para organizações que dependem do GitLab para sua plataforma DevSecOps.
CVE-2023-7028 (Gravidade: 10/10)
O problema de segurança mais grave, rastreado como CVE-2023-7028, se destaca com uma pontuação máxima de gravidade de 10 fora de 10.
este Falha do GitLab permite o controle da conta sem qualquer interação do usuário, criando um sério risco para as organizações. A vulnerabilidade reside em um problema de autenticação que permite que solicitações de redefinição de senha sejam enviadas para usuários arbitrários., endereços de e-mail não verificados. Mesmo que a autenticação de dois fatores (2FA) está ativo, uma redefinição de senha é possível, mas o login bem-sucedido ainda requer o segundo fator de autenticação.
CVE-2023-7028 foi descoberto e relatado pelo pesquisador de segurança ‘Asterion’ através da plataforma de recompensas de bugs HackerOne. Introduzido em maio 1, 2023, com versão 16.1.0, afeta várias versões, incluindo aqueles anteriores 16.7.2. O GitLab recomenda fortemente que os usuários atualizem para as versões corrigidas (16.7.2, 16.5.6, e 16.6.4) ou aplique a correção retroportada para versões 16.1.6, 16.2.9, e 16.3.7.
CVE-2023-5356 (Gravidade: 9.6/10)
A segunda vulnerabilidade crítica, identificado como CVE-2023-5356, carrega uma pontuação de gravidade de 9.6 fora de 10. Esta falha permite que invasores explorem integrações Slack/Mattermost, executando comandos de barra como outro usuário. Tanto no Mattermost quanto no Slack, comandos de barra desempenham um papel crucial na integração de aplicativos externos e na invocação de aplicativos na caixa do compositor de mensagens.
Além dessas vulnerabilidades críticas, GitLab abordou vários outros problemas em seu último lançamento, versão 16.7.2, Incluindo:
CVE-2023-4812: Ignorar CODEOWNERS (Gravidade: Alto)
GitLab 15.3 e versões subsequentes enfrentaram uma vulnerabilidade de alta gravidade, denotado como CVE-2023-4812. Esta falha permitiu contornar a aprovação dos CODEOWNERS manipulando solicitações de mesclagem previamente sancionadas. O potencial para alterações não autorizadas representava um risco significativo para a integridade do sistema de controle de versão.
CVE-2023-6955: Controle de acesso aos espaços de trabalho (Gravidade: Notável)
Versões do GitLab anteriores 16.7.2 exibiu controle de acesso impróprio em relação aos espaços de trabalho, conforme destacado em CVE-2023-6955. Essa falha permitiu que invasores criassem um espaço de trabalho dentro de um grupo, associá-lo a um agente de um grupo totalmente diferente. As implicações dessa criação não autorizada de espaço de trabalho introduziram uma vulnerabilidade notável na arquitetura de segurança do GitLab.
CVE-2023-2030: Confirmar validação de assinatura (Gravidade: Significativo)
Uma falha de validação de assinatura de commit, categorizado em CVE-2023-2030, versões afetadas do GitLab CE/EE a partir de 12.2 e em diante. Esta falha apresentou um risco significativo ao permitir a modificação de metadados associados a commits assinados devido a inadequações no processo de validação de assinatura. A manipulação potencial de metadados de commit levantou preocupações sobre a integridade geral e autenticidade do código controlado por versão.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: