Компания GitLab выпустила обновления безопасности для Community и Enterprise Edition для устранения двух критических уязвимостей, одна из которых позволяет перехватить учетную запись без участия пользователя.
Производитель настоятельно рекомендует как можно скорее обновить все уязвимые версии платформы DevSecOps (для самостоятельных установок требуется ручное обновление) и предупреждает, что если "не упоминается конкретный тип развертывания продукта (омнибус, исходный код, штурвал и т. д.), это означает, что затронуты все типы".
Подробности об уязвимости
Наиболее критичная проблема безопасности, которую исправил GitLab, имеет максимальный балл серьезности (10 из 10) и отслеживается как CVE-2023-7028. Успешная эксплуатация не требует никаких действий.
Это проблема аутентификации, которая позволяет отправлять запросы на сброс пароля на произвольные, непроверенные адреса электронной почты, что позволяет захватить учетную запись. Если двухфакторная аутентификация (2FA) активна, можно сбросить пароль, но второй фактор аутентификации все равно необходим для успешного входа в систему.
Взлом учетной записи GitLab может иметь значительные последствия для организации, поскольку эта платформа обычно используется для размещения проприетарного кода, ключей API и других конфиденциальных данных.
Еще одним риском являются атаки на цепочки поставок, когда злоумышленники могут скомпрометировать репозитории, вставив вредоносный код в живые среды, если GitLab используется для CI/CD (Continuous Integration/Continuous Deployment).
Проблема была обнаружена и сообщена GitLab исследователем безопасности 'Asterion' через платформу HackerOne bug bounty и была представлена 1 мая 2023 года в версии 16.1.0.
Затронуты следующие версии:
Дефект был устранен в версиях GitLab 16.7.2, 16.5.6 и 16.6.4, а также исправлен в версиях 16.1.6, 16.2.9 и 16.3.7.
GitLab заявляет, что не обнаружила случаев активной эксплуатации CVE-2023-7028, но поделилась следующими признаками компрометации для защитников:
Вторая критическая проблема идентифицируется как CVE-2023-5356 и имеет балл серьезности 9,6 из 10. Злоумышленник может использовать ее для злоупотребления интеграциями Slack/Mattermost, чтобы выполнять слэш-команды от имени другого пользователя.
В Mattermost слэш-команды позволяют интегрировать внешние приложения в рабочее пространство, а в Slack они служат ярлыками для вызова приложений в окне композитора mesasge.
Остальные недочеты, исправленные GitLab в версии 16.7.2, таковы:
Инструкции и официальные ресурсы для обновления можно найти на странице GitLab страница обновлений. Для Gitlab Runner, посетите эту веб-страницу.
Если тебе понравилась статья - подпишись на канал, чтобы не пропустить ещё много полезных статей!
Также ты можешь читать меня здесь:
- Телеграм: https://t.me/gergenshin
- Яндекс Дзен: https://dzen.ru/gergen
- Официальный сайт: https://www-genshin.ru
