Уязвимость 0-click в GitLab грозит захватом аккаунта

Уязвимость 0-click в GitLab грозит захватом аккаунта

Вышедшие на прошлой неделе обновления GitLab 16.7.2, 16.6.4 и 16.5.6 устраняют пять уязвимостей, в том числе две критические. Одна из них, оцененная в 10 баллов CVSS, позволяет изменить пароль к аккаунту, не требуя никаких действий от его владельца.

Данная уязвимость (CVE-2023-7028) была привнесена в минувшем мае с выпуском сборки 16.1.0, предоставившей возможность использования вторичного почтового адреса для сброса пароля. Как оказалось, верификация имейл была реализована некорректно, что облегчило подмену.

Проблема перекочевала во все последующие выпуски GitLab CE и EE и грозит захватом аккаунта тем, кто не использует двухфакторную аутентификацию (2FA). Патч включен в состав обновлений 16.7.2, 16.6.4, 16.5.6, а также ввиду серьезности угрозы бэкпортирован в виде сборок 16.1.6, 16.2.9, 16.3.7 и 16.4.5.

Данных об использовании CVE-2023-7028 в атаках, пока нет, хотя PoC-код уже опубликован. Пользователям рекомендуется как можно скорее обновить свои экземпляры GitLab и включить 2FA хотя бы для админ-аккаунтов, а лучше для всех. Версия, используемая GitLab.com, уже пропатчена.

Выпуски 16.7.2, 16.6.4 и 16.5.6 также содержат заплатки для следующих уязвимостей:

  • CVE-2023-5356 (9,6 балла CVSS) — некорректная проверка авторизации, позволяющая выполнять слеш-команды от имени другого пользователя из рабочих сред Slack и Mattermost;
  • CVE-2023-4812 (7,6 балла) — возможность обхода правил владельцев кода (CODEOWNERS) путем изменения ранее одобренного запроса о слиянии;
  • CVE-2023-6955 (6,6 балла) — возможность создания рабочего пространства, ассоциированного с агентом другой группы;
  • CVE-2023-2030 (3,5 балла) — возможность подмены метаданных подписанных коммитов.
Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

К 2028 году в России будет повсеместный Wi-Fi в самолетах и поездах

К 2028 году планируют организовать связь в самолетах и поездах. 22 мая на ЦИПР РЖД и «Аэрофлот» подписали соглашение о сотрудничестве с российской космической компанией «Бюро 1440», входящей в «ИКС Холдинг».

Она создает группировку низкоорбитальных спутников, чтобы обеспечивать широкополосный доступ к Сети с глобальным покрытием.

Проект позволит увеличить скорость передачи данных в десять раз (с 100 Мбит/с до 1 Гбит/с на абонентский терминал) и существенно снизить задержку передачи данных (с 700 до 70 мс).

Министр цифрового развития, связи и массовых коммуникаций Максут Шадаев рассказал, что правительство нацелено на создание надёжной спутниковой системы коммуникации. Технологическая инфраструктура обеспечит связью отдалённые и малонаселённые места России, а также поможет развивать транспортную отрасль.

Представители «Бюро 1440» рассказали, что компания будет предоставлять широкополосный канал передачи данных до транспортного средства, в котором установят абонентский терминал проекта. Именно он будет организовывать связь со спутником. Пассажиры смогут подключаться к терминалу со своих устройств, используя Wi-Fi.

В «Бюро 1440» сообщили, что транспортные компании получат возможность автоматизировано управлять, мониторить и передавать информацию с помощью интеллектуальной транспортной системы в режиме реального времени. Подключение к спутниковой группировке позволит создать каналы связи для беспилотной техники и аварийного восстановления ресурсов.

Пока неясно, сколько будет стоить один терминал, кто оплатит расходы и займётся установкой оборудования. В РЖД и «Аэрофлоте» не прокомментировали условия будущего сотрудничества.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru