За последние несколько месяцев произошел целый ряд инцидентов, связанных с критическими уязвимостями безопасности GitLab – несмотря на то, разработчики решения еще в январе сообщали об устранении проблемы. Одна из ошибок, CVE-2023-7028, позволяет с помощью формы смены пароля захватывать учётные записи пользователей.
В список уязвимых версий входят:
• 16.1 до 16.1.6;
• 16.2 до 16.2.9;
• 16.3 до 16.3.7;
• 16.4 до 16.4.5;
• 16.5 до 16.5.6;
• 16.6 до 16.6.4;
• 16.7 до 16.7.2.
Если вы обновляли GitLab в образе из маркетплейса до какой-либо из вышеперечисленных версий, рекомендуем сменить пароли пользователей для доступа к веб-приложению GitLab, в частности, служебного пользователя root, провести тщательный аудит безопасности, выбрать и установить закрывающее уязвимости обновление. Также желательным будет использование дополнительных независимых методов защиты, например, файрвола и серверного сертификата.