GitLab, hizmetinde başarılı bir şekilde kullanılırsa bir hesabın ele geçirilmesine neden olabilecek kritik bir güvenlik açığını gidermek için harekete geçti.
olarak izlendi CVE-2022-1680, sorunun CVSS önem puanı 9,9’dur ve şirket tarafından dahili olarak keşfedilmiştir. Güvenlik açığı, GitLab Enterprise Edition’ın (EE) 11.10’dan 14.9.5’e kadar olan tüm sürümlerini, 14.10’dan 14.10.4’e kadar olan tüm sürümleri ve 15.0’dan başlayarak 15.0.1’e kadar olan tüm sürümleri etkiler.
“Grup SAML SSO’su yapılandırıldığında, SCIM özelliği (yalnızca Premium+ aboneliklerde mevcuttur), bir Premium grubun herhangi bir sahibinin kullanıcı adları ve e-postaları aracılığıyla rastgele kullanıcıları davet etmesine ve ardından bu kullanıcıların e-posta adreslerini SCIM aracılığıyla saldırgan kontrollü bir e-postayla değiştirmesine izin verebilir. adres ve böylece – 2FA’nın yokluğunda – bu hesapları devralın,” GitLab söz konusu.
Bunu başaran kötü niyetli bir aktör, hedeflenen hesabın görünen adını ve kullanıcı adını da değiştirebilir, DevOps platform sağlayıcısı 1 Haziran 2022’de yayınlanan tavsiyesinde uyardı.
Ayrıca GitLab tarafından 15.0.1, 14.10.4 ve 14.9.5 sürümlerinde çözülen, ikisi yüksek, dördü orta ve biri düşük olarak derecelendirilen yedi güvenlik açığı daha vardır.
Yukarıda belirtilen hataların etkilenen bir kurulumunu çalıştıran kullanıcıların, mümkün olan en kısa sürede en son sürüme yükseltmeleri önerilir.