1. Главная
  2. Новости
  3. GitLab попал в десятку: одна из уязвимостей на платформе получила максимальный балл по CVSS

GitLab попал в десятку: одна из уязвимостей на платформе получила максимальный балл по CVSS

GitLab попал в десятку: одна из уязвимостей на платформе получила максимальный балл по CVSS

GitLab спешно устранил две критические уязвимости. Платформа выпустила версии 16.7.2, 16.6.4, 16.5.6 для GitLab Community Edition (CE) и Enterprise Edition (EE). Разработчики особо отметили необходимость немедленного обновления GitLab всеми пользователями.

Одна из проблем с идентификатором CVE-2023-7028. получила максимальную оценку по шкале CVSS — 10 баллов. Устраненная разработчиками уязвимость позволяет потенциальному злоумышленнику захватить аккаунт. Для этого достаточно отправить письмо о сбросе пароля на любой непроверенный адрес электронной почты. Какого-либо взаимодействия с владельцем аккаунта для перехвата его учетной записи не требуется. 

Уровень угрозы еще двух уязвимостей оценивается как высокий. Одна из них (CVE-2023-4812) позволяет обходить так называемое одобрение «владельцев кода» (code owners). Проблема безопасности оценивается в 7,6 баллов по шкале CVSS.

Уязвимость CVE-2023-5356 позволяет потенциальному злоумышленнику использовать интеграцию со  Slack или Mattermost, чтобы отправлять команды от лица другого пользователя. Проблема оценивается в 7.3 балла по CVSS.

CVE-2023-6955 получила 6.6 баллов по CVSS. С ее помощью потенциальный злоумышленник может создавать рабочее место, привязанное в одной группе пользователей. При этом оно будет связано с другой рабочей группой. Пятая уязвимость имеет низкий уровень опасности — 3,5 балла по CVSS. С помощью CVE-2023-2030 злоумышленник может изменять метаданные сообщений коммитов.

Все пять угроз безопасности были обнаружены участниками программы Bug Bounty, которых в GitLab поблагодарили за бдительность. Дополнительно для каждой из трех версий разработчики выпустили ряд обновлений, не связанных с безопасностью. 

Теги:

РЕКОМЕНДУЕМ

похожие материалы

Стрелочка
Стрелочка
Роскомнадзор выявил нарушения у 33 операторов связи при установке средств фильтрации трафика
Роскомнадзор выявил нарушения у 33 операторов связи при установке средств фильтрации трафика

Роскомнадзор в ходе плановых проверок обнаружил у 33 российских операторов связи нарушения правил установки и эксплуатации технических средств противодействия угрозам (ТСПУ), которые используются для фильтрации интернет-трафика, блокировки запрещённого контента и защиты инфраструктуры.

подробнее Стрелочка
Найдена критическая уязвимость в библиотеке zlib, приводящая к DoS и возможному исполнению кода
Найдена критическая уязвимость в библиотеке zlib, приводящая к DoS и возможному исполнению кода

В широко используемой библиотеке сжатия данных zlib обнаружена серьёзная уязвимость переполнения глобального буфера, которая может привести к сбою программ (DoS) и в определённых условиях - к удалённому выполнению произвольного кода.

подробнее Стрелочка
ИИ учится мыслить без данных
ИИ учится мыслить без данных

Исследователи представили новый подход в области искусственного интеллекта под названием Absolute Zero Reasoner (AZR) - систему, способную самостоятельно развивать навыки рассуждения без использования внешних обучающих данных.

подробнее Стрелочка
X вскоре опубликует исходный код нового алгоритма рекомендаций
X вскоре опубликует исходный код нового алгоритма рекомендаций

Илон Маск объявил, что социальная сеть X* в течение семи дней откроет для публики исходный код своего нового алгоритма, который отвечает за рекомендации как органических, так и рекламных постов пользователям платформы.

подробнее Стрелочка
Рост цен на электронику в 2026 году: чего ждать покупателям и рынку
Рост цен на электронику в 2026 году: чего ждать покупателям и рынку

Аналитики и участники рынка прогнозируют заметный рост цен на потребительскую электронику в 2026 году на фоне внедрения технологий искусственного интеллекта, дефицита оперативной памяти и увеличения налогов для производителей и импортеров.

подробнее Стрелочка