DevOps-platform GitLab heeft software-updates uitgebracht om een kritiek beveiligingslek aan te pakken dat, indien mogelijk misbruikt, een kwaadwillende de controle over accounts zou kunnen geven.
Bijgehouden als CVE-2022-1162het probleem heeft een CVSS-score van 9,1 en zou intern zijn ontdekt door het GitLab-team.
“Er is een hardgecodeerd wachtwoord ingesteld voor accounts die zijn geregistreerd met een OmniAuth-provider (bijv. OAuth, LDAP, SAML) in GitLab CE/EE-versies 14.7 vóór 14.7.7, 14.8 vóór 14.8.5 en 14.9 vóór 14.9.2 waardoor aanvallers mogelijk accounts kunnen overnemen”, stelt het bedrijf zei in een advies gepubliceerd op 31 maart.
GitLab, dat de bug heeft verholpen met de nieuwste release van versies 14.9.2, 14.8.5 en 14.7.7 voor GitLab Community Edition (CE) en Enterprise Edition (EE), zei ook dat het de stap nam om het wachtwoord van een onbepaald aantal gebruikers uit voorzichtigheid.
“Ons onderzoek toont geen aanwijzingen dat gebruikers of accounts zijn gecompromitteerd”, voegde het eraan toe.
Het bedrijf heeft ook een script gepubliceerd die beheerders van zelfbeheerde instanties kunnen uitvoeren om accounts te selecteren die mogelijk worden beïnvloed door CVE-2022-1162. Nadat de getroffen accounts zijn geïdentificeerd, is een wachtwoordreset geadviseerd.
Ook aangepakt door GitLab als onderdeel van de beveiligingsupdate zijn twee zeer ernstige opgeslagen cross-site scripting (XSS) bugs (CVE-2022-1175 en CVE-2022-1190), evenals negen middelzware fouten en vijf problemen die laag in ernst beoordeeld.
In het licht van het kritieke karakter van sommige van de problemen, wordt gebruikers die getroffen installaties uitvoeren ten zeerste aangeraden om zo snel mogelijk te upgraden naar de nieuwste versie.
