【漏洞预警】关于GitLab密码重置漏洞(CVE-2023-7028)的风险提示 |
|
一、背景介绍 近日,监测到GitLab存在密码重置漏洞(CVE-2023-7028),该产品用量较大,建议相关尽快做好自查及防护。 1.1漏洞描述 Gitlab是目前被广泛使用的基于git的开源代码管理平台,基于Ruby on Rails构建,主要针对软件开发过程中产生的代码和文档进行管理。 未经身份验证的远程攻击者可以利用该漏洞将用户帐户密码重置电子邮件发送至任意邮箱。LDAP 用户不会受到影响,因为没有忘记/重置密码选项。此外,启用了双因素身份验证的用户很容易受到密码重置的影响,但帐户不会被接管,因为需要第二个身份验证因素才能登录。 1.2漏洞编号 CVE-2023-7028 1.3漏洞等级 高危 二、修复建议 2.1受影响版本 GitLab CE/EE 16.1.x <= 16.1.5 GitLab CE/EE 16.2.x <= 16.2.8 GitLab CE/EE 16.3.x <= 16.3.6 GitLab CE/EE 16.4.x <= 16.4.4 GitLab CE/EE 16.5.x <= 16.5.6 GitLab CE/EE 16.6.x <= 16.6.4 GitLab CE/EE 16.7.x <= 16.7.2 2.2修复建议 目前官方已发布安全修复补丁,建议受影响用户可以升级到最新版本。 下载地址: https://about.gitlab.com/releases/2024/01/11/critical-security-release-gitlab-16-7-2-released/ |
Copyright © 2014 East China University Science and Technology. All rights reserved 版权所有 © 2014 华东理工大学信息化办公室 |