skizziert.
GitLab hat ein Sicherheitsupdate veröffentlicht, das zwei kritische Sicherheitslücken behebt, von denen eine für das Hijacking von Konten ohne Benutzerinteraktion ausgenutzt werden kann.
Details zur Schwachstelle
Die Sicherheitslücke mit der Nummer CVE-2023-7028 erhielt im CVSS-Scoring-System die höchste Bewertung von 10,0 und ermöglicht es einem Angreifer, ein Konto zu kapern, indem er einfach eine E-Mail zum Zurücksetzen des Passworts an eine nicht authentifizierte E-Mail-Adresse sendet.
Die Schwachstelle ist auf einen Fehler im Mailbox-Validierungsprozess zurückzuführen, der es Benutzern ermöglicht, ihre Passwörter über eine zweite Mailbox zurückzusetzen.
betroffene Version
Alle nicht verwalteten GitLab Community Edition (CE) und Enterprise Edition (EE) Instanzen mit den folgenden Versionen sind betroffen:
- Version 16.1, weniger als 16.1.6
- Version 16.2, weniger als 16.2.9
- Version 16.3, weniger als 16.3.7
- Version 16.4, weniger als 16.4.5
- Version 16.5, weniger als 16.5.6
- Version 16.6, weniger als 16.6.4
- Version 16.7, weniger als 16.7.2
Maßnahmen zur Wiederherstellung
GitLab hat die Schwachstelle in den GitLab-Versionen 16.5.6, 16.6.4 und 16.7.2 behoben und den Fix auf die Versionen 16.1.6, 16.2.9, 16.3.7 und 16.4.5 portiert.
Anregung
Um potenzielle Bedrohungen abzuschwächen, wird empfohlen, Ihre Instanz so bald wie möglich auf die korrigierte Version zu aktualisieren und die doppelte Authentifizierung zu aktivieren, insbesondere für Benutzer mit erhöhten Rechten, und die doppelte Authentifizierung auch dann zu überprüfen, wenn Sie sie bereits aktiviert haben.
Originalartikel von Chief Security Officer, bei Vervielfältigung bitte angeben: https://www.cncso.com/de/gitlab-releases-security-patch-to-fixed-high-risk-vulnerabilities.html
