GitLab birgə inkişafın təşkili üçün platformasına növbəti düzəldici yeniləmələr seriyasını nəşr etdi - 15.3.2, 15.2.4 və 15.1.6, autentifikasiya edilmiş istifadəçiyə kodu uzaqdan icra etməyə imkan verən kritik zəifliyi (CVE-2022-2992) aradan qaldırır. serverdə. Bir həftə əvvəl aradan qaldırılan CVE-2022-2884 zəifliyi kimi, GitHub xidmətindən məlumatların idxalı üçün API-də yeni problem mövcuddur. Boşluq GitHub-dan idxal kodunda ilk zəifliyi düzəldən 15.3.1, 15.2.3 və 15.1.5 buraxılışlarında da görünür.
Əməliyyat təfərrüatları hələlik verilməyib. Boşluq haqqında məlumat GitLab-a HackerOne-un boşluq mükafatı proqramının bir hissəsi kimi təqdim edilib, lakin əvvəlki problemdən fərqli olaraq, o, başqa iştirakçı tərəfindən müəyyən edilib. Çözüm olaraq, administratora GitHub-dan idxal funksiyasını söndürməsi tövsiyə olunur (GitLab veb interfeysində: “Menyu” -> “İdarəçi” -> “Parametrlər” -> “Ümumi” -> “Görünüş və girişə nəzarət” - > “İdxal mənbələri” -> “GitHub”ı deaktiv edin).
Bundan əlavə, təklif olunan yeniləmələr daha 14 zəifliyi aradan qaldırır ki, onlardan ikisi təhlükəli, 2022-u orta təhlükə dərəcəsi, ikisi isə zərərsiz kimi qeyd olunur. Aşağıdakılar təhlükəli sayılır: CVE-2865-2022 zəifliyi, rəng etiketlərinin manipulyasiyası yolu ilə digər istifadəçilərə göstərilən səhifələrə öz JavaScript kodunuzu əlavə etməyə imkan verir, həmçinin CVE-2527-XNUMX zəifliyi, məzmununuzu İnsidentlər miqyasının Zaman Qrafikində təsvir sahəsi ilə əvəz edin). Orta dərəcədə zəifliklər ilk növbədə xidmətdən imtina ehtimalı ilə bağlıdır.
Mənbə: opennet.ru