Korrigearjende updates foar it platfoarm foar it organisearjen fan gearwurkingsûntwikkeling binne publisearre - GitLab 16.7.2, 16.6.4 en 16.5.6, dy't twa krityske kwetsberens reparearje. De earste kwetsberens (CVE-2023-7028), dy't it maksimale earnstnivo (10 fan 10) wurdt tawiisd, kinne jo in oar syn akkount gripe troch manipulaasje fan it fergetten wachtwurdherstelformulier. De kwetsberens wurdt feroarsake troch de mooglikheid fan it ferstjoeren fan in e-post mei in wachtwurd weromsette koade nei net ferifiearre e-adressen. It probleem is ferskynde sûnt de frijlitting fan GitLab 16.1.0, dy't de mooglikheid yntrodusearre om in wachtwurdherstelkoade te stjoeren nei in net ferifiearre reservekopy-e-postadres.
Om de feiten fan kompromis fan systemen te kontrolearjen, wurdt it foarsteld om yn it gitlab-rails/production_json.log-log te evaluearjen de oanwêzigens fan HTTP-oanfragen oan 'e /users/wachtwurdhanneler dy't in array fan ferskate e-mails oanjout yn 'e "params.value.email " parameter. It wurdt ek suggerearre om te kontrolearjen op yngongen yn it gitlab-rails/audit_json.log-log mei de wearde PasswordsController#create yn meta.caller.id en in array fan ferskate adressen oan te jaan yn it target_details-blok. De oanfal kin net foltôge wurde as de brûker twa-faktor-autentikaasje ynskeakelt.
De twadde kwetsberens, CVE-2023-5356, is oanwêzich yn 'e koade foar yntegraasje mei de Slack- en Mattermost-tsjinsten, en lit jo /-kommando's útfiere ûnder in oare brûker fanwegen it gebrek oan juste autorisaasjekontrôle. It probleem wurdt tawiisd in hurdensnivo fan 9.6 fan 10. De nije ferzjes eliminearje ek in minder gefaarlike (7.6 fan 10) kwetsberens (CVE-2023-4812), wêrtroch jo de goedkarring fan CODEOWNERS kinne omgean troch wizigingen ta te foegjen oan in earder goedkard gearfoegje fersyk.
Detaillearre ynformaasje oer de identifisearre kwetsberens is pland om 30 dagen nei de publikaasje fan 'e fix te iepenbierjen. De kwetsberens waarden yntsjinne by GitLab as ûnderdiel fan HackerOne's kwetsberensbounty-programma.
Boarne: opennet.ru