GitLab hat Sicherheitsupdates veröffentlicht, um zwei kritische Schwachstellen zu beheben, darunter eine, die ausgenutzt werden könnte, um Konten zu übernehmen, ohne dass eine Benutzerinteraktion erforderlich ist.
Die Schwachstelle mit der ID ${match} wurde auf dem CVSS-Bewertungssystem mit der maximalen Schwere von 10,0 bewertet und könnte einen Kontomissbrauch ermöglichen, indem Passwort-Reset-E-Mails an eine nicht überprüfte E-Mail-Adresse gesendet werden.
Die Entwicklerplattform sagte, dass die Schwachstelle auf einem Fehler im E-Mail-Verifizierungsprozess beruht, der es Benutzern ermöglichte, ihr Passwort über eine sekundäre E-Mail-Adresse zurückzusetzen.
Betroffen sind alle selbstverwalteten Instanzen von GitLab Community Edition (CE) und Enterprise Edition (EE) in den folgenden Versionen:
16.1 vor 16.1.6
16.2 vor 16.2.9
16.3 vor 16.3.7
16.4 vor 16.4.5
16.5 vor 16.5.6
16.6 vor 16.6.4
16.7 vor 16.7.2
GitLab gab an, das Problem in den Versionen 16.5.6, 16.6.4 und 16.7.2 behoben zu haben und den Fix auch in die Versionen 16.1.6, 16.2.9, 16.3.7 und 16.4.5 zurückportiert zu haben. Das Unternehmen bemerkte außerdem, dass der Fehler am 1. Mai 2023 in der Version 16.1.0 eingeführt wurde.
„In diesen Versionen sind alle Authentifizierungsmechanismen betroffen“, sagte GitLab. „Darüber hinaus sind Benutzer, die die Zwei-Faktor-Authentifizierung aktiviert haben, anfällig für den Passwort-Reset, aber nicht für Kontomissbrauch, da ihr zweiter Authentifizierungsfaktor erforderlich ist, um sich anzumelden.“
Auch eine weitere kritische Schwachstelle (${match}, CVSS-Score: 9,6) wurde von GitLab im Rahmen des neuesten Updates behoben. Diese Schwachstelle erlaubt es einem Benutzer, Slack/Mattermost-Integrationen zu missbrauchen, um Slash-Befehle als ein anderer Benutzer auszuführen.
Um mögliche Bedrohungen zu minimieren, wird empfohlen, die Instanzen so bald wie möglich auf eine gepatchte Version zu aktualisieren und, falls noch nicht geschehen, die Zwei-Faktor-Authentifizierung zu aktivieren, insbesondere für Benutzer mit erhöhten Rechten.