GitLab 14.8.2, 14.7.4 və 14.6.5-in birgə inkişaf platformasına düzəldici yeniləmələr icazəsiz istifadəçiyə işləyicilərə zəng etmək üçün istifadə edilən GitLab Runner-da qeydiyyat nişanlarını çıxarmağa imkan verən kritik zəifliyi (CVE-2022-0735) aradan qaldırır. davamlı inteqrasiya sistemində layihə kodunu qurarkən. Təfərrüatlar hələ təqdim edilmir, sadəcə olaraq problem Tez Fəaliyyətlər əmrlərindən istifadə zamanı məlumat sızması ilə əlaqədardır.
Problem GitLab işçiləri tərəfindən müəyyən edilib və 12.10 - 14.6.5, 14.7 - 14.7.4 və 14.8 - 14.8.2 versiyalarına təsir edir. Fərdi GitLab quraşdırmalarını təmin edən istifadəçilərə yeniləməni quraşdırmaq və ya yamağı mümkün qədər tez tətbiq etmək tövsiyə olunur. Problem yalnız yazma icazəsi olan istifadəçilər üçün Quick Actions əmrlərinə girişin məhdudlaşdırılması ilə həll edildi. Yeniləməni və ya fərdi “token-prefiks” yamaqlarını quraşdırdıqdan sonra qruplar və layihələr üçün əvvəllər yaradılmış Runner-da qeydiyyat nişanları sıfırlanacaq və bərpa olunacaq.
Kritik zəifliyə əlavə olaraq, yeni versiyalar imtiyazsız istifadəçinin qruplara digər istifadəçiləri əlavə etməsinə, Snippet-lərin məzmunu ilə manipulyasiya yolu ilə istifadəçilərin yanlış məlumatlandırılmasına, sendmail çatdırılması üsulu ilə ətraf mühit dəyişənlərinin sızmasına səbəb ola biləcək 6 daha az təhlükəli zəifliyi də aradan qaldırır, GraphQL API vasitəsilə istifadəçilərin mövcudluğunun müəyyən edilməsi, çəkilmə rejimində SSH vasitəsilə depoları əks etdirərkən parolların sızması, şərh təqdimetmə sistemi vasitəsilə DoS hücumu.
Mənbə: opennet.ru