中国·开yun体育(官方)入口-APP下载安装·Maigoo百科

关于 GitLab 任意用户密码重置漏洞的安全告知

时间:2024-02-07 17:38:04来源:信息安全部作者:开yun体育官网入口

Gitlab是目前被广泛使用的基于git的开源代码管理平台。

漏洞详情
GitLab发布的16.1.0版本中引入了通过电子邮件找回密码的功能,已经注册的用户输入电子邮件会发送一个带有重置密码链接的邮件,攻击者可以通过构造恶意的数据包添加一个未验证的电子邮箱地址,同样可以收到重置密码的链接,达到重置密码的效果。

影响范围
GitLab CE/EE 16.1.x <= 16.1.5
GitLab CE/EE 16.2.x <= 16.2.8
GitLab CE/EE 16.3.x <= 16.3.6
GitLab CE/EE 16.4.x <= 16.4.4
GitLab CE/EE 16.5.x <= 16.5.6
GitLab CE/EE 16.6.x <= 16.6.4
GitLab CE/EE 16.7.x <= 16.7.2

漏洞复现
image006.png
image008.png

修复建议
1、开启双因素身份验证,可以参考下面链接:
https://docs.gitlab.com/ee/user/profile/account/two_factor_authentication.html
2、目前官方已在最新版本中修复了上述漏洞,请受影响的用户尽快升级版本进行防护,官方下载链接:https://about.gitlab.com/update/

产品支持
云安服-安全监测平台:默认支持该产品的指纹识别,已更新漏洞检测规则,已支持该漏洞的在线检测。

参考链接
https://docs.gitlab.com/ee/user/profile/account/two_factor_authentication.html
https://about.gitlab.com/releases/2024/01/11/critical-security-release-gitlab-16-7-2-released/

XML 地图