Tilkynnt var um alvarlegan veikleika í GitLab CE/EE hjá GitLab Inc. Veikleikinn gerir árásaraðilum kleift að lesa skrár á þjóninum. CERT-IS mælir með að uppfært sé eins fljótt og auðið er í útgáfu þar sem veikleikinn hefur verið lagfærður.
CVE-2023-2825
Veikleikinn er með CVSSv3 einkunn uppá 10 og gerir óauðkenndum, fjartengdum árásaraðilum kleift að lesa skrár á þjóninum við sérstakar aðstæður. Það þarf að vera viðhengi í opnu verkefni og verkefnið faldað (e. nested) innan að minnsta kosti fimm hópa. Ekki hefur verið gefið ítarlegri upplýsingar en við mælum með að lesa tilkynninguna frá GitLab [1].
Eftirfarandi kerfi eru veik fyrir gallanum:
- GitLab Community Edition (CE): 16.0.0
- GitLab Enterprise Edition (EE): 16.0.0
Veikleikinn hefur verið lagfærður í eftirfarandi útgáfum:
- GitLab Community Edition (CE): 16.0.1
- GitLab Enterprise Edition (EE): 16.0.1
Tilvísanir:
[1] https://about.gitlab.com/releases/2023/05/23/critical-security-release-gitlab-16-0-1-released/
[2] https://www.bleepingcomputer.com/news/security/gitlab-strongly-recommends-patching-max-severity-flaw-asap/
