Korrektiewe opdaterings aan die samewerkende ontwikkelingsplatform GitLab 14.8.2, 14.7.4 en 14.6.5 skakel 'n kritieke kwesbaarheid uit (CVE-2022-0735) wat 'n ongemagtigde gebruiker in staat stel om registrasietokens in die GitLab Runner te onttrek, wat gebruik word om hanteerders te bel wanneer projekkode in 'n deurlopende integrasiestelsel gebou word. Besonderhede word nog nie verskaf nie, net dat die probleem veroorsaak word deur inligtinglekkasie wanneer Quick Actions-opdragte gebruik word.
Die probleem is deur GitLab-personeel geïdentifiseer en raak weergawes 12.10 tot 14.6.5, 14.7 tot 14.7.4 en 14.8 tot 14.8.2. Gebruikers wat pasgemaakte GitLab-installasies in stand hou, word aangeraai om die opdatering te installeer of die pleister so gou as moontlik toe te pas. Die probleem is opgelos deur toegang tot Quick Actions-opdragte te beperk tot slegs gebruikers met skryftoestemming. Nadat die opdatering of individuele "token-prefix"-kolle geïnstalleer is, sal registrasietokens in Runner wat voorheen vir groepe en projekte geskep is, teruggestel en herskep word.
Benewens die kritieke kwesbaarheid, skakel die nuwe weergawes ook 6 minder gevaarlike kwesbaarhede uit wat kan lei tot 'n onbevoorregte gebruiker wat ander gebruikers by groepe voeg, verkeerde inligting van gebruikers deur manipulasie van die inhoud van Snippets, lekkasie van omgewingsveranderlikes deur die sendmail afleweringsmetode, bepaling van die teenwoordigheid van gebruikers deur die GraphQL API, lekkasie van wagwoorde wanneer bewaarplekke via SSH in trekmodus weerspieël word, DoS-aanval deur die kommentaar-indieningstelsel.
Bron: opennet.ru