GitLab מתריעה על פגיעויות קריטיות וממליצה לעדכן גירסה בדחיפות

GitLab, פלטפורמת המעקב והניהול של קובצי וגרסאות פיתוח שיושבת מעל Git, הודיעה שעל המשתמשים בפלטפורמה לעדכן באופן דחוף את הגירסאות שבהן הם משתמשים, בין אם מדובר במשתמשי הגירסה הקהילתית CE ובין אם מדובר במשתמשי הגרסה הארגונית EE.

לפי החברה, העדכונים ששחררה, 16.7.2, 16.6.4 ו-16.5.6, מכילים טלאי לתקלת אבטחה חמורה, שיכולה לאפשר להאקרים להשתלט על חשבונות של משתמשים מבלי כל צורך בפעולה כלשהי של הנפגעים. התקלה, שקיבלה את דירוג החומרה 10.0 במערכת הדירוג CVSS, יכולה לאפשר ההשתלטות על חשבון פשוט על ידי שליחת הודעת דואר לאיפוס הסיסמה לכתובת שאינה מאומתת בידי המערכת.

בחברה הודיעו, שהתקלה היא בתהליך האימות של הכתובת, כך שהיא אפשרה להשתמש בכתובת דואר נוספת מעבר לכתובת הראשית והעיקרית של המשתמש.

התקלה קיימת בגרסאות 16.1 לפני 16.1.6, ב-16.2 לפני 16.2.9, ב-16.3 לפני 16.3.7, ב-16.4 לפני 16.4.5, ב-16.5 לפני 16.5.6, ב-16.6 לפני 16.6.4 וב-16.7 לפני 16.7.2. החברה שחררה עדכונים לגרסאות 16.5.6, 16.6.4 ו-16.7.2 והיא הממליצה לשדרג מיד את כל הגרסאות המוקדמות יותר לאחת משלוש הגרסאות הללו. בגרסאות הקודמות בוצע תיקון לאחור.

לפי GitLab, היא לא זיהתה ניצול של הפגיעות הזו בפלטפורמות שהיא מנהלת, אבל לקוחות שמנהלים את המעקב והניהול בכוחות עצמם צריכים לבחון את הלוגים שלהם. כן ממליצה החברה להפעיל אימות דו שלבי.

"בתוך הגרסאות הללו, כל מנגנוני האימות מושפעים. בנוסף, משתמשים שהפעילו אימות דו-גורמי חשופים לאיפוס סיסמה, אך לא להשתלטות על החשבון, מכיוון שגורם האימות השני שלהם נדרש לכניסה", נמסר מהחברה.