Mit den Versionen 16.7.2, 16.6.4, 16.5.6 für die Gitlab Community Edition (CE) und die Enterprise Edition (EE) schließt der Anbieter von Diensten zur Softwareentwicklung und Versionsverwaltung Sicherheitslücken.
Es sei dringend empfohlen, alle Gitlab-Installationen sofort auf eine dieser Versionen zu aktualisieren, heißt es in der Mitteilung, auf Gitlab.com laufe bereits die gepatchte Version.
Bei den fünf Sicherheitslücken, die das Patchrelease schließt ist eine besonders gravierend. Sie ermöglicht die Kontoübernahme durch Zurücksetzen des Passworts ohne Benutzerinteraktion. Das Problem (CVE-2023-7028 ) wurde in allen Versionen ab 16.1 vor 16.1.6, 16.2 vor 16.2.9, 16.3 vor 16.3.7, 16.4 vor 16.4.5, 16.5 vor 16.5.6, 16.6 vor 16.6.4 und 16.7 vor 16.7.2 entdeckt. Es sei in den betroffenen Versionen möglich, E-Mails zum Zurücksetzen von Benutzerkonten an eine nicht verifizierte E-Mail-Adresse senden zu lassen. Die Lücke hat den maximalen CVSS von 10,0 erhalten.
Anfällig für die Lücke sind laut Gitlab auch Benutzer, die die Zwei-Faktor-Authentifizierung aktiviert haben, dann aber nur für das Zurücksetzen von Passwörtern, nicht aber für die Übernahme von Konten, da ihr zweiter Authentifizierungsfaktor für die Anmeldung erforderlich sei.
In der Mitteilung von Gitlab sind weitere Informationen und FAQs enthalten.
