Две уязвимости са критични, а други три са определени като с висока, средна и ниска степен на сериозност.
В новоиздадена актуализация GitLab съобщава, че пуска версии 16.7.2, 16.6.3 и 16.5.6 за GitLab Community Edition (CE) и Enterprise Edition (EE), за да отстрани редица критични уязвимости.
Две критични уязвимости, наред с по една за висока, средна и ниска степен, са изброени като част от поправките, които производителят спешно препоръчва да бъдат направени възможно най-скоро.
Първата критична уязвимост – проследена като CVE-2023-7028 – е проблем с удостоверяването, който позволява изпращането на повторни пароли на непроверени имейл адреси и има максимална оценка за сериозност 10. Заплахите не се нуждаят от взаимодействие, за да използват успешно тази уязвимост, въпреки че GitLab отбеляза, че не е открила активна експлоатация.
Засегнатите версии са: 16.1 преди 16.1.5; 16.2 преди 16.2.8; 16.3 преди 16.3.6; 16.4 преди 16.4.4; 16.5 преди 16.5.6; 16.6 преди 16.6.4 и 16.7 преди 16.7.2.
Втората критична уязвимост – проследена като CVE-2023-5356 – може да бъде използвана, за да се представите за друг потребител, който да изпълни команди с наклонена черта с цел злоупотреба със Slack/Mattermost. Има некоректни проверки за оторизация във всички версии, започващи от 8.13 преди 16.5.6, всички версии от 16.6 преди 16.6.4 и всички версии от 16.7 преди 16.7.2.
Другите три уязвимости, споменати в доклада, са свързани със заобикаляне на премахването на одобрението CODEOWNERS (CVE-2023-4812), работни пространства, създадени под различно коренно пространство от имена (CVE-2023-6955), и модифициране на метаданните на подписани предавания (CVE-2023-2030).
GitLab препоръчва обновяване и включване на двуфакторно удостоверяване за всички акаунти.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.