وصله‌ ای برای جلوگیری از حملات Account Hijacking در Gitlab منتشر شد


5/5 - (1 امتیاز)

DevOps GitLab به‌ روزرسانی‌ های نرم‌ افزاری را برای رفع یک آسیب‌ پذیری امنیتی حیاتی منتشر کرده است. در صورت Exploit موفقیت آمیز این آسیب پذیری، شخص نفوذگر میتواند Account Hijacking را در Gitlab پیاده سازی کند و کنترل حساب‌ ها را در دست بگیرد.

این آسیب پذیری که با نام CVE-2022-1162 شناخته می شود، دارای امتیاز CVSS 9.1 است و گفته می شود که توسط تیم GitLab به صورت داخلی کشف شده است.

“برای حساب‌ هایی که با استفاده از یک ارائه‌ دهنده OmniAuth (به عنوان مثال، OAuth، LDAP، SAML) در GitLab CE/EE نسخه های 14.7 قبل از 14.7.7، 14.8 قبل از 14.8.5، و 14.9 قبل از 14.9.2 ثبت شده‌ اند، یک رمز عبور کدگذاری شده تنظیم شده است. این شرکت در مشاوره ای که در 11 فروردین امسال منتشر شد، گفت: به مهاجمان اجازه می دهد تا به طور قابل توجهی حساب ها را تصاحب کنند.”

GitLab که با آخرین نسخه های 14.9.2، 14.8.5 و 14.7.7 برای GitLab Community Edition (CE) و Enterprise Edition (EE) این اشکال را برطرف کرده است، اعلام کرد که محض احتیاط اقدام به بازنشانی رمز عبور تعداد نامشخصی از کاربران کرده است.

آسیب پذیری های GitLab

وی افزود: «تحقیقات ما نشان می‌ دهد هیچ علائمی وجود ندارد که کاربران یا حساب‌ ها در معرض خطر قرار گرفته‌ اند».

این شرکت همچنین اسکریپتی منتشر کرده است که مدیران می‌ توانند آن را اجرا کنند تا حساب‌ هایی را که تحت تأثیر CVE-2022-1162 قرار گرفته‌ اند (حملات Account Hijacking در Gitlab)، مشخص کنند. پس از شناسایی حساب های آسیب دیده، بازنشانی رمز عبور توصیه شده است.

همچنین به عنوان بخشی از به‌ روزرسانی امنیتی توسط GitLab، دو باگ High-Severity که هر دو XSS هستند (CVE-2022-1175 و CVE-2022-1190) و همچنین 9 نقص Medium-Severity ​​و 5 مشکل که از نظر شدت درجه پایینی دارند، رفع شده است.

با توجه به بحرانی بودن برخی از مشکلات، به کاربرانی که نسخه های آسیب‌ پذیر را استفاده میکنند، به شدت توصیه می‌ شود که در اسرع وقت به آخرین نسخه ارتقا دهند.

بدون دیدگاه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد.