导读:GitLab近日发布了社区版(CE)及企业版(EE)的安全更新,分别是版本16.7.2、16.6.4和16.5.6。这次更新的焦点在于修复了一个CVSS风险评分高达10分的密码重置漏洞CVE-2023-7028,涉及身份验证系统。
1. 重大漏洞揭秘:CVE-2023-7028的威胁
这一漏 ......
GitLab近日发布了社区版(CE)及企业版(EE)的安全更新,分别是版本16.7.2、16.6.4和16.5.6。这次更新的焦点在于修复了一个CVSS风险评分高达10分的密码重置漏洞CVE-2023-7028,涉及身份验证系统。
1. 重大漏洞揭秘:CVE-2023-7028的威胁
这一漏洞与身份验证密切相关,GitLab支持用户通过辅助电子邮件地址进行密码重置。然而,在相关电子邮件验证过程中存在错误,黑客通过未经验证的漏洞地址接管账号的可能性。这个漏洞影响的版本范围是16.1-16.7.1,对用户账号构成了潜在威胁。
2. 安全升级建议:GitLab的呼吁与建议
GitLab紧急呼吁用户迅速进行安全更新,并强烈建议启用双重认证功能,以最大程度地保护账号免受黑客的攻击。这一举措旨在维护用户数据的安全和完整性。
3. 额外修复:CVE-2023-5356授权检查不当漏洞
除了密码漏洞修复外,此次更新还涉及另一项重要修复,即 授权检查不当漏洞 CVE-2023-5356。该漏洞影响8.13以上版本,CVSS风险评分高达9.6。黑客可滥用Slack/Mattermost集成,以其他用户的身份执行斜杠命令,引发了对系统授权的不当访问。
这次GitLab的安全更新是对系统安全的重要举措,用户应当高度重视。为了防范潜在威胁,建议所有用户尽快更新到最新版本,并密切关注GitLab的安全通告。让我们共同维护一个安全可靠的开发环境!
