漏洞速览
■ GitLab 密码重置漏洞漏洞详情
1. GitLab 密码重置漏洞
影响组件: Gitlab是目前被广泛使用的基于git的开源代码管理平台,基于Ruby on Rails构建,主要针对软件开发过程中产生的代码和文档进行管理。
漏洞危害:
未经身份验证的远程攻击者可以利用该漏洞将用户帐户密码重置电子邮件发送至任意邮箱。LDAP 用户不会受到影响,因为没有忘记/重置密码选项。此外,启用了双因素身份验证的用户很容易受到密码重置的影响,但帐户不会被接管,因为需要第二个身份验证因素才能登录。
影响范围:
GitLab CE/EE 16.1.x <= 16.1.5
GitLab CE/EE 16.2.x <= 16.2.8
GitLab CE/EE 16.3.x <= 16.3.6
GitLab CE/EE 16.4.x <= 16.4.4
GitLab CE/EE 16.5.x <= 16.5.6
GitLab CE/EE 16.6.x <= 16.6.4
GitLab CE/EE 16.7.x <= 16.7.2
修复方案:
暂时可以通过以下操作进行缓解:
开启双因素身份验证,可以参考下面链接:
https://docs.gitlab.com/ee/user/profile/account/two_factora_ut
hentication.html
以上内容均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,易安联以及文章作者不承担任何责任。
易安联高级攻防实验室
易安联高级攻防实验室,是易安联为落实公司发展战略,促进网络空间安全生态建设,孵化下一代安全能力,进行高级别的攻防对抗研究而组建的专业性安全实验室。推出的威胁情报和天织DNS威胁分析平台,可以为用户提供高效的威胁防护能力,帮助用户更好地应对各类网络威胁。
关于易安联
江苏易安联网络技术有限公司(www.enlink.top,简称易安联)是专业从事网络信息安全产品研发与销售的高新技术企业,是国内领先的“零信任”产品及解决方案提供商,公司总部位于南京,在北京、深圳、安徽、山东、杭州、西安等地设立分支机构,公司致力于成为国内零信任安全行业领导者!
易安联专注零信任安全,先后发布EnSDP(零信任安界防护平台)、EnBox(零信任安全工作空间)、EnCASB(零信任云应用安全接入平台)、EnAppGate(统一资源发布系统)、EnIAM(零信任身份管理平台)、EnDTA(天织·DTA威胁分析系统)等多款产品及解决方案,推出ZTNA零信任网络架构解决方案和EnSASE安全访问服务边缘解决方案并提供包括安全运维、实战攻防、应急演练等安全服务。公司目前客户已超800家,涵盖教育、金融、电力、互联网、运营商等行业。
扫一扫
431
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
