Siber Muhbir

CVE-2023-7028 olarak izlenen kusur, CVSS puanlama sisteminde maksimum 10.0 önem derecesine layık görüldü ve doğrulanmamış bir e-posta adresine parola sıfırlama e-postaları göndererek hesabın ele geçirilmesini kolaylaştırabilir.

DevSecOps platformu, güvenlik açığının, kullanıcıların şifrelerini ikincil bir e-posta adresi aracılığıyla sıfırlamalarına izin veren e-posta doğrulama sürecindeki bir hatanın sonucu olduğunu söyledi.

Aşağıdaki sürümleri kullanarak GitLab Community Edition (CE) ve Enterprise Edition'ın (EE) kendi kendini yöneten tüm örneklerini etkiler -

• 16.1 16.1.6'dan önceki
• 16.2 16.2.9'dan önceki
• 16.3 16.3.7'den önceki
• 16.4 16.4.5'ten önceki
• 16.5 16.5.6'dan önceki
• 16.6 16.6.4'ten önceki
• 16.7 16.7.2'den önceki

GitLab, sorunu GitLab 16.5.6, 16.6.4 ve 16.7.2 sürümlerinde ele aldığını ve düzeltmeyi 16.1.6, 16.2.9, 16.3.7 ve 16.4.5 sürümlerine geri taşıdığını söyledi. Şirket ayrıca hatanın 1 Mayıs 2023'te 16.1.0'da tanıtıldığını kaydetti.

GitLab, "Bu sürümlerde, tüm kimlik doğrulama mekanizmaları etkileniyor" dedi. "Ek olarak, iki faktörlü kimlik doğrulamayı etkinleştiren kullanıcılar, oturum açmak için ikinci kimlik doğrulama faktörü gerektiğinden, parola sıfırlamaya karşı savunmasızdır, ancak hesabı ele geçiremez."

Ayrıca, en son güncellemenin bir parçası olarak GitLab tarafından yamalanan başka bir kritik kusur (CVE-2023-5356, CVSS puanı: 9.6), bir kullanıcının başka bir kullanıcı olarak eğik çizgi komutlarını yürütmek için Slack/Mattermost entegrasyonlarını kötüye kullanmasına izin verir.

Olası tehditleri azaltmak için, bulut sunucularını mümkün olan en kısa sürede yamalı bir sürüme yükseltmeniz ve özellikle yükseltilmiş ayrıcalıklara sahip kullanıcılar için henüz değilse 2FA'yı etkinleştirmeniz önerilir.

Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.