የትብብር ልማት መድረክ GitLab 14.8.2, 14.7.4 እና 14.6.5 እርማት ማሻሻያዎች ወሳኝ ተጋላጭነትን ያስወግዳል (CVE-2022-0735) ያልተፈቀደ ተጠቃሚ በ GitLab Runner ውስጥ የመመዝገቢያ ምልክቶችን እንዲያወጣ ያስችለዋል፣ ይህም ተቆጣጣሪዎችን ለመጥራት ይጠቅማል። ቀጣይነት ባለው ውህደት ስርዓት ውስጥ የፕሮጀክት ኮድ ሲገነቡ. ዝርዝሮች ገና አልተሰጡም፣ ችግሩ የተፈጠረው በፈጣን እርምጃዎች ትዕዛዞችን ሲጠቀሙ በመረጃ መፍሰስ ብቻ ነው።
ጉዳዩ በ GitLab ሰራተኞች ተለይቷል እና ከ12.10 እስከ 14.6.5፣ 14.7 እስከ 14.7.4፣ እና 14.8 እስከ 14.8.2 ያሉትን ስሪቶች ይነካል። ብጁ የ GitLab ጭነቶችን የሚጠብቁ ተጠቃሚዎች ማሻሻያውን እንዲጭኑ ወይም በተቻለ ፍጥነት ፓቼውን እንዲተገብሩ ይመከራሉ። ችግሩ የተፈታው የመፃፍ ፍቃድ ላላቸው ተጠቃሚዎች ብቻ የፈጣን እርምጃዎች ትዕዛዞች መዳረሻን በመገደብ ነው። ዝመናውን ከጫኑ በኋላ ወይም የግለሰብ "ቶከን-ቅድመ-ቅጥያ" ንጣፎችን ከጫኑ በኋላ ቀደም ሲል ለቡድኖች እና ፕሮጀክቶች የተፈጠሩ በሩነር ውስጥ የምዝገባ ቶከኖች እንደገና ይጀመራሉ እና እንደገና ይገነባሉ.
ከአስጊ ተጋላጭነት በተጨማሪ አዲሶቹ ስሪቶች 6 ያነሱ አደገኛ ተጋላጭነቶችን ያስወግዳሉ ይህም ያልተፈቀደ ተጠቃሚ ሌሎች ተጠቃሚዎችን ወደ ቡድን እንዲጨምር ሊያደርግ ይችላል ፣የተጠቃሚዎች የተሳሳተ መረጃ የቅንጣቢ ይዘትን በመጠቀም ፣የአካባቢ ተለዋዋጮችን በመላክ መልእክት መላኪያ ዘዴ ፣ የተጠቃሚዎችን መኖር በግራፍQL ኤፒአይ መወሰን፣ ማከማቻዎችን በSSH በፑት ሁነታ ሲያንጸባርቁ የይለፍ ቃሎች መፍሰስ፣ DoS ጥቃት በአስተያየት ማስረከቢያ ስርዓት።
ምንጭ: opennet.ru