Avaldatud on koostööarenduse korraldamise platvormi paranduslikud uuendused – GitLab 16.7.2, 16.6.4 ja 16.5.6, mis parandavad kahte kriitilist turvaauku. Esimene haavatavus (CVE-2023-7028), millele on määratud maksimaalne raskusaste (10/10), võimaldab teil unustatud parooli taastamise vormiga manipuleerimise teel arestida kellegi teise konto. Haavatavuse põhjuseks on võimalus saata parooli lähtestuskoodiga e-kiri kinnitamata meiliaadressidele. Probleem on ilmnenud alates GitLab 16.1.0 väljalaskmisest, mis tutvustas võimalust saata parooli taastamise kood kinnitamata varumeiliaadressile.
Süsteemide ohustamise faktide kontrollimiseks tehakse ettepanek hinnata logis gitlab-rails/production_json.log HTTP-päringute olemasolu /users/password töötlejale, mis näitab mitme meili massiivi failis “params.value.email ” parameeter. Samuti on soovitatav kontrollida logis gitlab-rails/audit_json.log kirjeid, mille väärtus on PasswordsController#create failis meta.caller.id ja mis näitab mitme aadressi massiivi plokis target_details. Rünnakut ei saa lõpule viia, kui kasutaja lubab kahefaktorilise autentimise.
Teine haavatavus, CVE-2023-5356, on Slacki ja Mattermosti teenustega integreerimiseks mõeldud koodis olemas ning võimaldab teil nõuetekohase autoriseerimiskontrolli puudumise tõttu täita /-käske teise kasutaja all. Probleemile on määratud raskusaste 9.6 10-st. Uued versioonid kõrvaldavad ka vähem ohtliku (7.6 10-st) haavatavuse (CVE-2023-4812), mis võimaldab teil CODEOWNERSi kinnitusest mööda minna, lisades muudatusi varem kinnitatud liitmistaotlus.
Täpsem informatsioon tuvastatud turvaaukude kohta on kavas avalikustada 30 päeva pärast paranduse avaldamist. Haavatavused esitati GitLabile osana HackerOne'i haavatavuse preemiaprogrammist.
Allikas: opennet.ru