GitLab kritiskas ievainojamības

Atklātas vairākas nopietnas ievainojamības GitLab programmatūrā. Kritiskākās ļauj uzbrucējam pārņemt lietotāju kontus (CVE-2023-7028), nomainot aktīvo e-pastu, un izpildīt komandas Slack vai Mattermost integrācijās (CVE-2023-5356).

Minētās ievainojamības ir iespējams izmantot bez autentifikācijas vai kādas citas lietotāju iesaistes (zero-click).

Ietekmētas sekojošas versijas:

• 16.1 versijai: ietekmētas versijas pirms 16.1.6
• 16.2 versijai: ietekmētas versijas pirms 16.2.9
• 16.3 versijai: ietekmētas versijas pirms 16.3.7
• 16.4 versijai: ietekmētas versijas pirms 16.4.5
• 16.5 versijai: ietekmētas versijas pirms 16.5.6
• 16.6 versijai: ietekmētas versijas pirms 16.6.4
• 16.7 versijai: ietekmētas versijas pirms 16.7.2

Nepieciešams nekavējoties atjaunināt GitLab programmatūras versiju, vairāk par atjaunināšanu šeit - https://about.gitlab.com/update/

Nepieciešams arī ieviest divu faktoru autentifikāciju, kas neļautu uzbrucējiem pārņemt lietotāju kontus un pastiprinātu kopējo sistēmas drošību.

Vairāk informācijas:

• https://about.gitlab.com/releases/2024/01/11/critical-security-release-gitlab-16-7-2-released/
• https://www.bleepingcomputer.com/news/security/gitlab-warns-of-critical-zero-click-account-hijacking-vulnerability/
• https://cert.europa.eu/publications/security-advisories/2024-007/pdf