Търсене
Close this search box.

GitLab пуска актуализации за справяне с критични уязвимости

Две уязвимости са критични, а други три са определени като с висока, средна и ниска степен на сериозност.

В новоиздадена актуализация GitLab съобщава, че пуска версии 16.7.2, 16.6.3 и 16.5.6 за GitLab Community Edition (CE) и Enterprise Edition (EE), за да отстрани редица критични уязвимости.

Две критични уязвимости, наред с по една за висока, средна и ниска степен, са изброени като част от поправките, които производителят спешно препоръчва да бъдат направени възможно най-скоро.

Първата критична уязвимост – проследена като CVE-2023-7028 – е проблем с удостоверяването, който позволява изпращането на повторни пароли на непроверени имейл адреси и има максимална оценка за сериозност 10. Заплахите не се нуждаят от взаимодействие, за да използват успешно тази уязвимост, въпреки че GitLab отбеляза, че не е открила активна експлоатация.

Засегнатите версии са: 16.1 преди 16.1.5; 16.2 преди 16.2.8; 16.3 преди 16.3.6; 16.4 преди 16.4.4; 16.5 преди 16.5.6; 16.6 преди 16.6.4 и 16.7 преди 16.7.2.

Втората критична уязвимост – проследена като CVE-2023-5356 – може да бъде използвана, за да се представите за друг потребител, който да изпълни команди с наклонена черта с цел злоупотреба със Slack/Mattermost. Има некоректни проверки за оторизация във всички версии, започващи от 8.13 преди 16.5.6, всички версии от 16.6 преди 16.6.4 и всички версии от 16.7 преди 16.7.2.

Другите три уязвимости, споменати в доклада, са свързани със заобикаляне на премахването на одобрението CODEOWNERS (CVE-2023-4812), работни пространства, създадени под различно коренно пространство от имена (CVE-2023-6955), и модифициране на метаданните на подписани предавания (CVE-2023-2030).

GitLab препоръчва обновяване и включване на двуфакторно удостоверяване за всички акаунти.

 

Източник: DARKReading

Подобни публикации

18 април 2024

Вариант на LockBit 3.0 генерира персонализиран,...

Изследователите на Kaspersky са открили новия вариант, след като са...
18 април 2024

Групата "Sandworm" е основното звено за киберат...

Но дори и да се е фокусирала върху това, сложната група за заплахи ...
18 април 2024

Apple предупреждава потребителите в 150 държави...

В ново уведомление за заплахи Apple посочва доставчика на Pegasus N...
17 април 2024

Приложението Copilot на Windows Server е добаве...

Microsoft твърди, че новото приложение Copilot, погрешно добавено в...
17 април 2024

Последни тенденции при зловредния софтуер

В днешната дигитална ера киберсигурността се превърна в постоянна г...
17 април 2024

FTC налага глоби на стартъпа за психично здраве...

Федералната търговска комисия на САЩ (FTC) разпореди на компанията ...
17 април 2024

BMC на Intel и Lenovo съдържат непоправен недос...

Нови открития на Binarly показват, че пропуск в сигурността, засяга...
Бъдете социални
Още по темата
17/04/2024

BMC на Intel и Lenovo съдър...

Нови открития на Binarly показват, че...
20/03/2024

Новият инструмент на GitHub...

GitHub представи нова функция с изкуствен...
20/03/2024

Ivanti отстрани критична гр...

Ivanti предупреди клиентите си незабавно да...
Последно добавени
18/04/2024

Вариант на LockBit 3.0 гене...

Изследователите на Kaspersky са открили новия...
18/04/2024

Групата "Sandworm" е основн...

Но дори и да се е...
18/04/2024

Apple предупреждава потреби...

В ново уведомление за заплахи Apple...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!