Aggiornamenti recenti Maggio 6th, 2024 4:34 PM
Apr 05, 2022 Redazione news News, RSS, Vulnerabilità 0
Come riportato da un articolo di Bleeping Computer, il bug, scoperto internamente e identificato come CVE-2022-1162) è presente sia nella Community Edition (CE) sia nella Enterprise Edition (EE) della piattaforma, che si ritiene avere circa 30 milioni di utenti registrati in 66 paesi. La vulnerabilità risulta dall’impostazione accidentale di una password statica durante l’utilizzo della registrazione OmniAuth.
Nella sua notifica di sicurezza il team di GitLab ha spiegato che “è stata assegnata una password hardcoded per gli account registrati usando un provider OmniAuth (ossia OAuth, LDAP o SAML) nelle versioni 14.7 precedenti alla 14.7.7, 14.8 precedenti alla 14.8.5 e 14.9 precedenti alla 14.9.2 di GitLab CE/EE che permette potenzialmente agli aggressori di prendere il controllo degli account”.
Il team consiglia a tutti gli utenti di aggiornare immediatamente le proprie installazioni alle versioni più recenti (14.9.2, 14.8.5, o 14.7.7) di GitLab per bloccare potenziali attacchi. Ha anche reso noto di aver resettato le password di un numero limitato di utenti di GitLab.com per mitigare il problema. Non ha però specificato quali.
Ha infine comunicato di non aver trovato indicazioni nelle proprie indagini che alcun account sia stato compromesso da cyber criminali usando questa vulnerabilità ma di star prendendo misure precauzionali per tutelare la sicurezza degli utenti.
L’azienda ha creato un script che gli amministratori di istanze autogestite della piattaforma possono usare per identificare gli account degli utenti che potrebbero essere stati impattati dalla vulnerabilità CVE-2022-1162. Dopo averli individuati, è consigliato che resettino le loro password.
Set 22, 2023 0
Mag 05, 2023 0
Gen 09, 2023 0
Lug 06, 2022 0
Mag 06, 2024 0
Mag 06, 2024 0
Mag 06, 2024 0
Mag 03, 2024 0
Mag 06, 2024 0
Gli scanner di vulnerabilità, ovvero i software usati per...Mag 03, 2024 0
Sempre più spesso si discute delle crescenti capacità...Apr 29, 2024 0
Lo United States Postal Service (USPS), l’agenzia...Apr 24, 2024 0
ToddyCat, un gruppo APT che colpisce prevalentemente...Apr 18, 2024 0
La corsa all’IA generativa ha spinto i produttori di...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Ott 28, 2016 0
Il pirata informatico che ha creato il ransomware cerca...Ott 11, 2016 0
Dopo la raffica di figuracce, l’azienda sospende per...Mag 06, 2024 0
Questa settimana, il CERT-AGID ha identificato e analizzato...Mag 06, 2024 0
Gli scanner di vulnerabilità, ovvero i software usati per...Mag 06, 2024 0
Il Governo Federale della Germania, con il supporto della...Mag 03, 2024 0
Zscaler ha annunciato l’acquisizione di Airgap...Mag 03, 2024 0
Sempre più spesso si discute delle crescenti capacità...