聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
GitLab 强烈建议用户尽快更新所有的 DevSecOps 平台易受版本(自托管安装需要手动更新),并提醒称,如果没有“提到产品的具体部署类型,那就说明所有类型均受影响。”
GitLab 所修复的漏洞中最严重的是CVSS评分为10分的漏洞CVE-2023-7028。成功利用该漏洞无需任何用户交互。
该漏洞是认证漏洞,可导致密码重置请求被发送给任意的未经认证的邮件地址,从而导致账户接管。如启用了双因素认证,则可能重置密码但第二个验证因素仍然要求成功登录。
劫持 GitLab 账户可对组织机构造成重大影响,因为该平台通常用于托管专有代码、API 密钥和其它敏感数据。另外一个风险是供应链攻击。当 GitLab 用作CI/CD时,攻击者可通过在实时环境中插入恶意代码的方式攻陷仓库。
该漏洞由安全研究员 Asterion 通过 HackerOne 漏洞奖励平台报送,在2023年5月1日推出的16.1.0版本中引入。受影响版本如下:
-
16.1.5之前的16.1版本
-
16.2.8之前的16.2版本
-
16.3.6之前的16.3版本
-
16.4.4之前的16.4版本
-
16.5.6之前的16.5版本
-
16.6.4之前的16.6版本
-
16.7.2之前的16.7版本
该漏洞已在 GitLab 16.7.2、16.5.6和16.6.4中修复,且修复方案已向后兼容到16.1.6、16.2.9和16.3.7版本。GitLab 提到并未发现该漏洞遭利用的证据,不过与防御人员分享了如下攻陷标志:
-
Check gitlab-rails/production_json.log for HTTP requests to the /users/password path with params.value.email consisting of a JSON array with multiple email addresses. -
Check gitlab-rails/audit_json.log for entries with meta.caller.id of PasswordsController#create and target_details consisting of a JSON array with multiple email addresses.
GitLab 修复的第二个严重漏洞是CVE-2023-5356,CVSS评分为9.6,可用于滥用 Slack/Mattermost 集成,以其它用户身份执行slash 命令。在Mattermost环境中,slash 命令可将外部应用集成到workspace;在Slack 环境中,它们可用作在消息编辑框中启动应用的快捷键。
GitLab 还修复了如下几个漏洞:
-
CVE-2023-4812:位于GitLab 15.3及后续版本中的高危漏洞,可通过修改此前已获同意的合并请求,绕过CODEOWNERS 的同意。
-
CVE-2023-6955:GitLab 16.7.2之前版本中Workspace 的访问控制不当漏洞,可导致攻击者在与另外一个组代理相关的组中创建workspace。
-
CVE-2023-2030:提交签名验证漏洞,影响 GitLab CE/EE 版本12.2及后续版本,因签名验证不当可导致已签名的提交元数据遭修改。
GitLab 在更新页面中还给出了相关指南和官方更新资源。
原文始发于微信公众号(代码卫士):GitLab 提醒注意严重的零点击账户劫持漏洞
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论