تعمل التحديثات التصحيحية لمنصة التطوير التعاوني GitLab 14.8.2 و14.7.4 و14.6.5 على إزالة الثغرة الأمنية الخطيرة (CVE-2022-0735) التي تسمح لمستخدم غير مصرح له باستخراج رموز التسجيل المميزة في GitLab Runner، والتي تُستخدم لاستدعاء المعالجات عند بناء كود المشروع في نظام التكامل المستمر. لم يتم توفير التفاصيل بعد، فقط أن المشكلة ناجمة عن تسرب المعلومات عند استخدام أوامر الإجراءات السريعة.
تم تحديد المشكلة بواسطة موظفي GitLab وتؤثر على الإصدارات من 12.10 إلى 14.6.5، ومن 14.7 إلى 14.7.4، ومن 14.8 إلى 14.8.2. يُنصح المستخدمون الذين يحتفظون بتثبيتات GitLab المخصصة بتثبيت التحديث أو تطبيق التصحيح في أقرب وقت ممكن. تم حل المشكلة عن طريق تقييد الوصول إلى أوامر الإجراءات السريعة للمستخدمين الذين لديهم إذن الكتابة فقط. بعد تثبيت التحديث أو تصحيحات "بادئة الرمز المميز" الفردية، سيتم إعادة تعيين رموز التسجيل المميزة في Runner التي تم إنشاؤها مسبقًا للمجموعات والمشاريع وإعادة إنشائها.
بالإضافة إلى الثغرة الحرجة، تعمل الإصدارات الجديدة أيضًا على القضاء على 6 ثغرات أقل خطورة يمكن أن تؤدي إلى قيام مستخدم لا يتمتع بأي امتيازات بإضافة مستخدمين آخرين إلى المجموعات، وتضليل المستخدمين من خلال التلاعب بمحتويات المقتطفات، وتسريب متغيرات البيئة من خلال طريقة تسليم البريد الإلكتروني، تحديد وجود المستخدمين من خلال واجهة برمجة تطبيقات GraphQL، وتسريب كلمات المرور عند عكس المستودعات عبر SSH في وضع السحب، وهجوم DoS من خلال نظام تقديم التعليقات.
المصدر: opennet.ru