GitLab выпустил обновления безопасности для Community и для Enterprise Edition, чтобы устранить две критические уязвимости, одна из которых позволяет взломать учётную запись без взаимодействия с пользователем.
Платформа рекомендует как можно скорее обновить все уязвимые версии платформы DevSecOps (для локальных установок требуется обновление вручную) и предупреждает, что если «нет конкретного типа развёртывания упоминаемого продукта, то затронуты все его типы».
Критическая проблема безопасности, исправленная GitLab, имеет максимальный балл серьёзности (10 из 10) и отслеживается как CVE-2023-7028. Это проблема аутентификации, которая позволяет отправлять запросы на сброс пароля на произвольные непроверенные адреса электронной почты.
Взлом учётной записи GitLab опасен не только доступом к конфиденциальным данным, но и атаками на цепочку поставок, когда злоумышленники могут скомпрометировать репозитории, вставив вредоносный код в действующие среды интеграции и развёртывания.
О проблеме впервые сообщил исследователь безопасности компании Asterion через платформу HackerOne 1 мая 2023 года в версии 16.1.0. Она затрагивает следующие версии GitLab: от 16.1 до 16.1.5, от 16.2 до 16.2.8, от 16.3 до 16.3.6, от 16.4 до 16.4.4, от 16.5 до 16.5.6, от 16.6 до 16.6.4, от 16.7 до 16.7.2.
Ошибку устранили в версиях GitLab 16.7.2, 16.5.6 и 16.6.4, а также исправление было перенесено в версии 16.1.6, 16.2.9 и 16.3.7.
GitLab заявляет, что не обнаружил ни одного случая активной эксплуатации CVE-2023-7028, но поделился признаками компрометации для аккаунтов. Администраторам посоветовали проверить gitlab-rails/production_json.log на наличие HTTP-запросов к пути /users/password с параметром params.value.email, состоящим из массива JSON с несколькими адресами электронной почты. Также им следует проверить gitlab-rails/audit_json.log на наличие записей с meta.caller.id из PasswordsController#create и target_details, состоящих из массива JSON с несколькими адресами электронной почты.
Вторая критическая проблема обозначена как CVE-2023-5356 и имеет степень серьёзности 9,6 из 10. Злоумышленник может использовать её для злоупотребления интеграцией Slack/Mattermost и для выполнения слэш-команд от имени другого пользователя. В Mattermost слэш-команды позволяют интегрировать внешние приложения в рабочую область, а в Slack они действуют как ярлыки для вызова приложений в окне композитора сообщений.
Также в GitLab 16.7.2 исправили ещё несколько уязвимостей:
CVE-2023-4812, которая позволяет обойти одобрение CODEOWNERS путём внесения изменений в ранее одобренный мердж-реквест;
CVE-2023-6955, которая позволяет злоумышленникам создавать рабочую область в одной группе, связанную с агентом из другой группы;
CVE-2023-2030, которая позволяет изменить метаданные подписанных коммитов из-за неправильной проверки подписи.
Источник новости: habr.com