ΠΡΠ±Π»ΠΈΠΊΡΠ²Π°Π½ΠΈ ΡΠ° ΠΊΠΎΡΠΈΠ³ΠΈΡΠ°ΡΠΈ Π°ΠΊΡΡΠ°Π»ΠΈΠ·Π°ΡΠΈΠΈ Π½Π° ΠΏΠ»Π°ΡΡΠΎΡΠΌΠ°ΡΠ° Π·Π° ΠΎΡΠ³Π°Π½ΠΈΠ·ΠΈΡΠ°Π½Π΅ Π½Π° ΡΡΠ²ΠΌΠ΅ΡΡΠ½Π° ΡΠ°Π·ΡΠ°Π±ΠΎΡΠΊΠ° - GitLab 16.7.2, 16.6.4 ΠΈ 16.5.6, ΠΊΠΎΠΈΡΠΎ ΠΊΠΎΡΠΈΠ³ΠΈΡΠ°Ρ Π΄Π²Π΅ ΠΊΡΠΈΡΠΈΡΠ½ΠΈ ΡΡΠ·Π²ΠΈΠΌΠΎΡΡΠΈ. ΠΡΡΠ²Π°ΡΠ° ΡΡΠ·Π²ΠΈΠΌΠΎΡΡ (CVE-2023-7028), Π½Π° ΠΊΠΎΡΡΠΎ Π΅ ΠΏΡΠΈΡΠ²ΠΎΠ΅Π½ΠΎ ΠΌΠ°ΠΊΡΠΈΠΌΠ°Π»Π½ΠΎ Π½ΠΈΠ²ΠΎ Π½Π° ΡΠ΅ΡΠΈΠΎΠ·Π½ΠΎΡΡ (10 ΠΎΡ 10), Π²ΠΈ ΠΏΠΎΠ·Π²ΠΎΠ»ΡΠ²Π° Π΄Π° ΠΈΠ·Π·Π΅ΠΌΠ΅ΡΠ΅ Π°ΠΊΠ°ΡΠ½ΡΠ° Π½Π° Π½ΡΠΊΠΎΠΉ Π΄ΡΡΠ³ ΡΡΠ΅Π· ΠΌΠ°Π½ΠΈΠΏΡΠ»ΠΈΡΠ°Π½Π΅ Π½Π° ΡΠΎΡΠΌΠ°ΡΠ° Π·Π° Π²ΡΠ·ΡΡΠ°Π½ΠΎΠ²ΡΠ²Π°Π½Π΅ Π½Π° Π·Π°Π±ΡΠ°Π²Π΅Π½Π° ΠΏΠ°ΡΠΎΠ»Π°. Π£ΡΠ·Π²ΠΈΠΌΠΎΡΡΡΠ° Π΅ ΠΏΡΠΈΡΠΈΠ½Π΅Π½Π° ΠΎΡ Π²ΡΠ·ΠΌΠΎΠΆΠ½ΠΎΡΡΡΠ° Π·Π° ΠΈΠ·ΠΏΡΠ°ΡΠ°Π½Π΅ Π½Π° ΠΈΠΌΠ΅ΠΉΠ» Ρ ΠΊΠΎΠ΄ Π·Π° Π½ΡΠ»ΠΈΡΠ°Π½Π΅ Π½Π° ΠΏΠ°ΡΠΎΠ»Π° Π΄ΠΎ Π½Π΅ΠΏΡΠΎΠ²Π΅ΡΠ΅Π½ΠΈ ΠΈΠΌΠ΅ΠΉΠ» Π°Π΄ΡΠ΅ΡΠΈ. ΠΡΠΎΠ±Π»Π΅ΠΌΡΡ ΡΠ΅ ΠΏΠΎΡΠ²ΡΠ²Π° ΡΠ»Π΅Π΄ ΠΏΡΡΠΊΠ°Π½Π΅ΡΠΎ Π½Π° GitLab 16.1.0, ΠΊΠΎΠΉΡΠΎ Π²ΡΠ²Π΅Π΄Π΅ Π²ΡΠ·ΠΌΠΎΠΆΠ½ΠΎΡΡ Π·Π° ΠΈΠ·ΠΏΡΠ°ΡΠ°Π½Π΅ Π½Π° ΠΊΠΎΠ΄ Π·Π° Π²ΡΠ·ΡΡΠ°Π½ΠΎΠ²ΡΠ²Π°Π½Π΅ Π½Π° ΠΏΠ°ΡΠΎΠ»Π° Π΄ΠΎ Π½Π΅ΠΏΠΎΡΠ²ΡΡΠ΄Π΅Π½ ΡΠ΅Π·Π΅ΡΠ²Π΅Π½ ΠΈΠΌΠ΅ΠΉΠ» Π°Π΄ΡΠ΅Ρ.
ΠΠ° Π΄Π° ΡΠ΅ ΠΏΡΠΎΠ²Π΅ΡΡΡ ΡΠ°ΠΊΡΠΈΡΠ΅ Π·Π° ΠΊΠΎΠΌΠΏΡΠΎΠΌΠ΅ΡΠΈΡΠ°Π½Π΅ Π½Π° ΡΠΈΡΡΠ΅ΠΌΠΈΡΠ΅, ΡΠ΅ ΠΏΡΠ΅Π΄Π»Π°Π³Π° Π΄Π° ΡΠ΅ ΠΎΡΠ΅Π½ΠΈ Π² ΡΠ΅Π³ΠΈΡΡΡΠ°ΡΠΈΠΎΠ½Π½ΠΈΡ ΡΠ°ΠΉΠ» gitlab-rails/production_json.log Π½Π°Π»ΠΈΡΠΈΠ΅ΡΠΎ Π½Π° HTTP Π·Π°ΡΠ²ΠΊΠΈ ΠΊΡΠΌ ΠΌΠ°Π½ΠΈΠΏΡΠ»Π°ΡΠΎΡΠ° Π½Π° /users/password, ΠΏΠΎΡΠΎΡΠ²Π°Ρ ΠΌΠ°ΡΠΈΠ² ΠΎΡ Π½ΡΠΊΠΎΠ»ΠΊΠΎ ΠΈΠΌΠ΅ΠΉΠ»Π° Π² βparams.value.email β ΠΏΠ°ΡΠ°ΠΌΠ΅ΡΡΡ. ΠΡΠ΅Π΄Π»Π°Π³Π° ΡΠ΅ ΡΡΡΠΎ ΡΠ°ΠΊΠ° Π΄Π° ΡΠ΅ ΠΏΡΠΎΠ²Π΅ΡΡΠ²Π°Ρ Π·Π°ΠΏΠΈΡΠΈ Π² ΠΆΡΡΠ½Π°Π»Π° Π½Π° gitlab-rails/audit_json.log ΡΡΡ ΡΡΠΎΠΉΠ½ΠΎΡΡΡΠ° PasswordsController#create Π² meta.caller.id ΠΈ ΠΏΠΎΡΠΎΡΠ²Π°Π½Π΅ Π½Π° ΠΌΠ°ΡΠΈΠ² ΠΎΡ Π½ΡΠΊΠΎΠ»ΠΊΠΎ Π°Π΄ΡΠ΅ΡΠ° Π² Π±Π»ΠΎΠΊΠ° target_details. ΠΡΠ°ΠΊΠ°ΡΠ° Π½Π΅ ΠΌΠΎΠΆΠ΅ Π΄Π° Π±ΡΠ΄Π΅ Π·Π°Π²ΡΡΡΠ΅Π½Π°, Π°ΠΊΠΎ ΠΏΠΎΡΡΠ΅Π±ΠΈΡΠ΅Π»ΡΡ Π°ΠΊΡΠΈΠ²ΠΈΡΠ° Π΄Π²ΡΡΠ°ΠΊΡΠΎΡΠ½ΠΎ ΡΠ΄ΠΎΡΡΠΎΠ²Π΅ΡΡΠ²Π°Π½Π΅.
ΠΡΠΎΡΠ°ΡΠ° ΡΡΠ·Π²ΠΈΠΌΠΎΡΡ, CVE-2023-5356, ΠΏΡΠΈΡΡΡΡΠ²Π° Π² ΠΊΠΎΠ΄Π° Π·Π° ΠΈΠ½ΡΠ΅Π³ΡΠ°ΡΠΈΡ Ρ ΡΡΠ»ΡΠ³ΠΈΡΠ΅ Slack ΠΈ Mattermost ΠΈ Π²ΠΈ ΠΏΠΎΠ·Π²ΠΎΠ»ΡΠ²Π° Π΄Π° ΠΈΠ·ΠΏΡΠ»Π½ΡΠ²Π°ΡΠ΅ /-ΠΊΠΎΠΌΠ°Π½Π΄ΠΈ ΠΏΠΎΠ΄ Π΄ΡΡΠ³ ΠΏΠΎΡΡΠ΅Π±ΠΈΡΠ΅Π» ΠΏΠΎΡΠ°Π΄ΠΈ Π»ΠΈΠΏΡΠ°ΡΠ° Π½Π° ΠΏΠΎΠ΄Ρ ΠΎΠ΄ΡΡΠ° ΠΏΡΠΎΠ²Π΅ΡΠΊΠ° Π·Π° ΠΎΡΠΎΡΠΈΠ·Π°ΡΠΈΡ. ΠΠ° ΠΏΡΠΎΠ±Π»Π΅ΠΌΠ° Π΅ ΠΏΡΠΈΡΠ²ΠΎΠ΅Π½ΠΎ Π½ΠΈΠ²ΠΎ Π½Π° ΡΠ΅ΡΠΈΠΎΠ·Π½ΠΎΡΡ 9.6 ΠΎΡ 10. ΠΠΎΠ²ΠΈΡΠ΅ Π²Π΅ΡΡΠΈΠΈ ΡΡΡΠΎ Π΅Π»ΠΈΠΌΠΈΠ½ΠΈΡΠ°Ρ ΠΏΠΎ-ΠΌΠ°Π»ΠΊΠΎ ΠΎΠΏΠ°ΡΠ½Π° (7.6 ΠΎΡ 10) ΡΡΠ·Π²ΠΈΠΌΠΎΡΡ (CVE-2023-4812), ΠΊΠΎΡΡΠΎ Π²ΠΈ ΠΏΠΎΠ·Π²ΠΎΠ»ΡΠ²Π° Π΄Π° Π·Π°ΠΎΠ±ΠΈΠΊΠΎΠ»ΠΈΡΠ΅ ΠΎΠ΄ΠΎΠ±ΡΠ΅Π½ΠΈΠ΅ΡΠΎ Π½Π° CODEOWNERS, ΠΊΠ°ΡΠΎ Π΄ΠΎΠ±Π°Π²ΠΈΡΠ΅ ΠΏΡΠΎΠΌΠ΅Π½ΠΈ ΠΊΡΠΌ ΠΏΡΠ΅Π΄Π²Π°ΡΠΈΡΠ΅Π»Π½ΠΎ ΠΎΠ΄ΠΎΠ±ΡΠ΅Π½ Π·Π°ΡΠ²ΠΊΠ° Π·Π° ΡΠ»ΠΈΠ²Π°Π½Π΅.
ΠΠΎΠ΄ΡΠΎΠ±Π½Π° ΠΈΠ½ΡΠΎΡΠΌΠ°ΡΠΈΡ Π·Π° ΠΈΠ΄Π΅Π½ΡΠΈΡΠΈΡΠΈΡΠ°Π½ΠΈΡΠ΅ ΡΡΠ·Π²ΠΈΠΌΠΎΡΡΠΈ ΡΠ΅ ΠΏΠ»Π°Π½ΠΈΡΠ° Π΄Π° Π±ΡΠ΄Π΅ ΡΠ°Π·ΠΊΡΠΈΡΠ° 30 Π΄Π½ΠΈ ΡΠ»Π΅Π΄ ΠΏΡΠ±Π»ΠΈΠΊΡΠ²Π°Π½Π΅ΡΠΎ Π½Π° ΠΊΠΎΡΠ΅ΠΊΡΠΈΡΡΠ°. Π£ΡΠ·Π²ΠΈΠΌΠΎΡΡΠΈΡΠ΅ Π±ΡΡ
Π° ΠΈΠ·ΠΏΡΠ°ΡΠ΅Π½ΠΈ Π½Π° GitLab ΠΊΠ°ΡΠΎ ΡΠ°ΡΡ ΠΎΡ ΠΏΡΠΎΠ³ΡΠ°ΠΌΠ°ΡΠ° Π·Π° Π½Π°Π³ΡΠ°Π΄ΠΈ Π·Π° ΡΡΠ·Π²ΠΈΠΌΠΎΡΡΠΈ Π½Π° HackerOne.
ΠΠ·ΡΠΎΡΠ½ΠΈΠΊ: opennet.ru