아웃라인
GitLab에서 사용자 상호작용 없이 계정 탈취에 악용될 수 있는 두 가지 중요한 취약점을 수정하는 보안 업데이트를 발표했습니다.
취약점 세부 정보
CVE-2023-7028로 지정된 이 취약점은 CVSS 점수 시스템에서 최고 등급인 10.0을 받았으며, 공격자가 인증되지 않은 이메일 주소로 비밀번호 재설정 이메일을 보내기만 하면 계정을 탈취할 수 있습니다.
이 취약점은 사용자가 보조 사서함을 통해 비밀번호를 재설정할 수 있는 사서함 유효성 검사 프로세스의 결함에서 비롯된 것입니다.
영향을 받는 버전
다음 버전을 사용하는 모든 비관리형 GitLab 커뮤니티 에디션(CE) 및 엔터프라이즈 에디션(EE) 인스턴스가 영향을 받습니다:
- 버전 16.1, 16.1.6 미만
- 버전 16.2, 16.2.9 미만
- 버전 16.3, 16.3.7 미만
- 버전 16.4, 16.4.5 미만
- 버전 16.5, 16.5.6 미만
- 버전 16.6, 16.6.4 미만
- 버전 16.7, 16.7.2 미만
복원 조치
깃랩은 깃랩 16.5.6, 16.6.4, 16.7.2 버전에서 이 취약점을 수정했으며 16.1.6, 16.2.9, 16.3.7, 16.4.5 버전으로 포팅했다고 밝혔다.
제안
잠재적인 위협을 완화하려면 가능한 한 빨리 인스턴스를 고정 버전으로 업그레이드하고, 특히 상승된 권한을 가진 사용자의 경우 이중 인증을 사용하도록 설정하는 것이 좋으며, 이전에 이중 인증을 사용하도록 설정한 경우에도 다시 확인하는 것이 좋습니다.
최고 보안 책임자의 원본 글, 복제 시 출처 표시: https://www.cncso.com/kr/gitlab-releases-security-patch-to-fixed-high-risk-vulnerabilities.html
