accessible-http:cve-2023-7028
Apdraudējuma apraksts:
Kas ir noticis:
Jūs saņēmāt šo e-pastu tāpēc, ka Jūsu GitLab programmatūra, iespējams, ir pakļauta ievainojamībai CVE-2023-7028.
Atklātas vairākas nopietnas ievainojamības GitLab programmatūrā. Kritiskākās ļauj uzbrucējam pārņemt lietotāju kontus (CVE-2023-7028), nomainot aktīvo e-pastu, un izpildīt komandas Slack vai Mattermost integrācijās (CVE-2023-5356).
Minētās ievainojamības ir iespējams izmantot bez autentifikācijas vai kādas citas lietotāju iesaistes (zero-click).
Ietekmētas sekojošas versijas:
- 16.1 versijai: ietekmētas versijas pirms 16.1.6
- 16.2 versijai: ietekmētas versijas pirms 16.2.9
- 16.3 versijai: ietekmētas versijas pirms 16.3.7
- 16.4 versijai: ietekmētas versijas pirms 16.4.5
- 16.5 versijai: ietekmētas versijas pirms 16.5.6
- 16.6 versijai: ietekmētas versijas pirms 16.6.4
- 16.7 versijai: ietekmētas versijas pirms 16.7.2
Nepieciešams nekavējoties atjaunināt GitLab programmatūras versiju, vairāk par atjaunināšanu šeit - https://about.gitlab.com/update/. Nepieciešams arī ieviest divu faktoru autentifikāciju, kas neļautu uzbrucējiem pārņemt lietotāju kontus un pastiprinātu kopējo sistēmas drošību.
Papildu informācija pieejama šeit:
- https://about.gitlab.com/releases/2024/01/11/critical-security-release-gitlab-16-7-2-released/
- https://www.bleepingcomputer.com/news/security/gitlab-warns-of-critical-zero-click-account-hijacking-vulnerability/
- https://cert.europa.eu/publications/security-advisories/2024-007/pdf
English
What happened:
You received this e-mail because your Gitlab server could be vulnerable to CVE-2023-7028.
Several serious vulnerabilities in GitLab software have been discovered. The most critical allows an attacker to take over user accounts (CVE-2023-7028) by changing the active email, and execute commands in Slack or Mattermost integrations (CVE-2023-5356). The mentioned vulnerabilities can be used without authentication or any user interaction (zero-click). Affected versions:
- 16.1 version: before 16.1.6
- 16.2 version: before 16.2.9
- 16.3 version: before 16.3.7
- 16.4 version: before 16.4.5
- 16.5 version: before 16.5.6
- 16.6 version: before 16.6.4
- 16.7 version: before 16.7.2
What to do:
Update GitLab software version immediately, more information on how to update - https://about.gitlab.com/update/. Implement 2FA authentication, which would prevent attackers from taking over user accounts and increase overall system security.
More info:
- https://about.gitlab.com/releases/2024/01/11/critical-security-release-gitlab-16-7-2-released/
- https://www.bleepingcomputer.com/news/security/gitlab-warns-of-critical-zero-click-account-hijacking-vulnerability/
- https://cert.europa.eu/publications/security-advisories/2024-007/pdf