아웃라인
GitLab에서 사용자 상호작용 없이 계정 탈취에 악용될 수 있는 두 가지 중요한 취약점을 수정하는 보안 업데이트를 발표했습니다.
취약점 세부 정보
CVE-2023-7028로 지정된 이 취약점은 CVSS 점수 시스템에서 최고 등급인 10.0을 받았으며, 공격자가 인증되지 않은 이메일 주소로 비밀번호 재설정 이메일을 보내기만 하면 계정을 탈취할 수 있습니다.
이 취약점은 사용자가 보조 사서함을 통해 비밀번호를 재설정할 수 있는 사서함 유효성 검사 프로세스의 결함에서 비롯된 것입니다.
영향을 받는 버전
다음 버전을 사용하는 모든 비관리형 GitLab 커뮤니티 에디션(CE) 및 엔터프라이즈 에디션(EE) 인스턴스가 영향을 받습니다:
- 버전 16.1, 16.1.6 미만
- 버전 16.2, 16.2.9 미만
- 버전 16.3, 16.3.7 미만
- 버전 16.4, 16.4.5 미만
- 버전 16.5, 16.5.6 미만
- 버전 16.6, 16.6.4 미만
- 버전 16.7, 16.7.2 미만
복원 조치
깃랩은 깃랩 16.5.6, 16.6.4, 16.7.2 버전에서 이 취약점을 수정했으며 16.1.6, 16.2.9, 16.3.7, 16.4.5 버전으로 포팅했다고 밝혔다.
제안
잠재적인 위협을 완화하려면 가능한 한 빨리 인스턴스를 고정 버전으로 업그레이드하고, 특히 상승된 권한을 가진 사용자의 경우 이중 인증을 사용하도록 설정하는 것이 좋으며, 이전에 이중 인증을 사용하도록 설정한 경우에도 다시 확인하는 것이 좋습니다.
原创文章,作者:首席安全官,如若转载,请注明出处:https://cncso.com/kr/깃랩-고위험-취약점을-수정하는-보안-패치-릴리스-html
