в общих чертах
Компания GitLab выпустила обновление безопасности, устраняющее две критические уязвимости, одна из которых может быть использована для захвата учетной записи без участия пользователя.
Подробности об уязвимости
Уязвимость под номером CVE-2023-7028 получила наивысшую оценку 10.0 в системе CVSS и позволяет злоумышленнику захватить учетную запись, просто отправив письмо со сбросом пароля на неаутентифицированный адрес электронной почты.
Уязвимость связана с недостатком в процессе проверки почтовых ящиков, который позволяет пользователям сбрасывать свои пароли через вторичный почтовый ящик.
Затронутые версии
Затронуты все неуправляемые экземпляры GitLab Community Edition (CE) и Enterprise Edition (EE) со следующими версиями:
- Версия 16.1, менее 16.1.6
- Версия 16.2, менее 16.2.9
- Версия 16.3, менее 16.3.7
- Версия 16.4, менее 16.4.5
- Версия 16.5, менее 16.5.6
- Версия 16.6, менее 16.6.4
- Версия 16.7, менее 16.7.2
Восстановительные мероприятия
Компания GitLab заявила, что устранила уязвимость в GitLab версий 16.5.6, 16.6.4 и 16.7.2 и перенесла исправление в версии 16.1.6, 16.2.9, 16.3.7 и 16.4.5.
предложение
Для снижения потенциальных угроз рекомендуется как можно скорее обновить экземпляр до исправленной версии и включить двойную аутентификацию, особенно для пользователей с повышенными привилегиями, а также перепроверить, даже если вы уже включили двойную аутентификацию.
原创文章,作者:首席安全官,如若转载,请注明出处:https://cncso.com/ru/gitlab-выпускает-патч-безопасности-для-уст
