GitLab vraagt gebruikers hun e-mailadres opnieuw te verifiëren

GitLab heeft gebruikers opnieuw gevraagd om hun e-mailadres te verifiëren. De dienst heeft een kwetsbaarheid gerepareerd waarmee het mogelijk was e-mailverificatie te omzeilen. Daarom zijn e-mailadressen uit voorzorg gereset.

De Nederlandse dienst heeft een e-mail gestuurd naar een onbekend aantal gebruikers. Daarin staat dat gebruikers hun e-mailadres opnieuw moeten verifiëren voor zij GitLab kunnen blijven gebruiken. Verschillende tweakers melden dat zij de mail hebben ontvangen.

GitLab verwijst in de mail naar een lek dat eerder al is gerepareerd. CVE-2020-13265 is een kwetsbaarheid waarmee e-mailverificatie kan worden omzeild. Die kwetsbaarheid is verholpen in versie 13.0.1 van GitLab.

Het is niet duidelijk waarom GitLab de mail nu nogmaals heeft gestuurd. Het bedrijf deed dat ook al in juni, en verwijst nu opnieuw naar hetzelfde issue waar gebruikers ook comments kunnen achterlaten. GitLab zegt dat alleen gebruikers met een geverifieerd tweede e-mailadres de mail hebben ontvangen.

Reacties (13)

Zerfox 10 juli 2020 20:31

Het is niet duidelijk waarom GitLab de mail nu nogmaals heeft gestuurd. Het bedrijf deed dat ook al in juni, en verwijst nu opnieuw naar hetzelfde issue waar gebruikers ook comments kunnen achterlaten. GitLab zegt dat alleen gebruikers met een geverifieerd tweede e-mailadres de mail hebben ontvangen.

Ik heb de mail ook ontvangen vandaag, maar ik heb in juni geen mail ontvangen. Dus ik ga er vanuit dat GitLab ontdekt heeft dat er een groep mensen is geweest die deze mail nog niet ontvangen hadden in juni.

Voor de volledigheid, de mail in kwestie:

Dear GitLab user,

As part of our commitment to keeping GitLab secure, we have identified and addressed a vulnerability in GitLab that allowed some users to bypass the email verification process in a recent security release.

As a precautionary measure, you will need to re-verify some of your account's email addresses before continuing to use GitLab. Sorry for the inconvenience!

We have already sent the re-verification email with a subject line of "Confirmation instructions" from gitlab@mg.gitlab.com. Please feel free to contribute any questions or comments to this issue.

If you are not "Gebruikersnaam", please report this to our administrator

Thank you for being a GitLab user!

NielsFL @Zerfox • 10 juli 2020 21:37

Hier inderdaad niets ontvangen. Toen niet, en nu niet. Misschien komt het nog - dergelijke grote mailings kunnen wel een tijdje duren.

Byron010 @NielsFL • 10 juli 2020 23:11

Zelfde hier, dus ligt inderdaad niet aan jouw of ik

, nog maar even afwachten dan

Martinspire @Byron010 • 10 juli 2020 23:54

Misschien is de trigger bij inloggen?

dasiro @Byron010 • 11 juli 2020 16:51

"jou of mij"

(mod maar weg, ongeletterden)

ViTO_xp @dasiro • 11 juli 2020 20:46

Ik denk dat je de smiley over het hoofd zag in het bericht waar je op reageerde,,,

wvd_vegt 11 juli 2020 10:10

Let even op als je nog op versie 12 of lager zit: er is geen 1 staps update mogelijk, eerst updaten naar 13.0.0-ce.0 (of ee) en dan verder. Correctie eerst updaten naar de laatste 12 versie dan 13.0.0 etc.

Verder brak voor mijn installatie de installer af met een key error. De info op https://muszak.eu/answers...lic-key-is-not-available/ hielp.

Echnon 10 juli 2020 20:46

Het is een beetje onduidelijk wat voor consequenties dit nou voor self hosted instances heeft, waar er natuurlijk meer smaken van user administration zijn dan op gitlab.com. Wij hebben wel gelijk geupdate maar sign up staat ook dicht bij ons en in principe komen alle users vanuit LDAP.

Ventieldopje @Echnon • 10 juli 2020 22:09

Dan zal het wel meevallen maar in de tijd dat ik een self-hosted gitlab beheerde werd ik naar van de updates waar "ASAP" bij stond, brr.

rbr320 @Ventieldopje • 10 juli 2020 22:20

Idem, naast de kritieke beveiligingsupdates die met regelmaat voorbij kwamen vond ik het ook te log, groot en complex voor wat we er mee doen. We zijn inmiddels over op Gitea.

Ventieldopje @rbr320 • 10 juli 2020 23:06

Gitea is heerlijk idd! Ik wou dat ik meer tijd had om te helpen ontwikkelen. Zelf nu over op Bitbucket (< 10 users), wat prima is maar vooral integreert met Jira en ook niet al te log is. Dit was op korte termijn makkelijker en minder werk om te beheren maar blijf het zeker volgen.

Bizar hoeveel Gitlab niet alleen opeist maar ook echt nodig heeft ondanks dat de meeste features niet gebruikt werden. Minder dan 24gb geheugen werd krap. Gitea daarentegen gebruikte nog niet eens 1GB

Bitbucket kan ook af met 4GB, zeker sinds de laatste versies gelukkig.

Ronald1302 10 juli 2020 20:45

Ik heb zowel nu als in juni niets ontvangen...

Maar op zich wel goed dat ze dit actief navolgen, ipv het proberen te verhullen.

TheVivaldi 11 juli 2020 00:31

Ik heb zowel in juni als deze keer geen e-mail ontvangen...

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (13)

Sorteer op:

Weergave: