Π£ΡΠ·Π²ΠΈΠΌΠΎΡΡ‚ΡŒ Π² GitLab, ΠΏΠΎΠ·Π²ΠΎΠ»ΡΡŽΡ‰Π°Ρ Π·Π°ΠΏΠΈΡΠ°Ρ‚ΡŒ Ρ„Π°ΠΉΠ»Ρ‹ Π² ΠΏΡ€ΠΎΠΈΠ·Π²ΠΎΠ»ΡŒΠ½Ρ‹ΠΉ ΠΊΠ°Ρ‚Π°Π»ΠΎΠ³ Π½Π° сСрвСрС

ΠžΠΏΡƒΠ±Π»ΠΈΠΊΠΎΠ²Π°Π½Ρ‹ ΠΊΠΎΡ€Ρ€Π΅ΠΊΡ‚ΠΈΡ€ΡƒΡŽΡ‰ΠΈΠ΅ обновлСния ΠΏΠ»Π°Ρ‚Ρ„ΠΎΡ€ΠΌΡ‹ для ΠΎΡ€Π³Π°Π½ΠΈΠ·Π°Ρ†ΠΈΠΈ совмСстной Ρ€Π°Π·Ρ€Π°Π±ΠΎΡ‚ΠΊΠΈ — GitLab 16.8.1, 16.7.4, 16.6.6 ΠΈ 16.5.8, Π² ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Ρ… устранСны 5 уязвимостСй. Одной ΠΈΠ· ΠΏΡ€ΠΎΠ±Π»Π΅ΠΌ (CVE-2024-0402), которая проявляСтся начиная с выпуска GitLab 16.0, присвоСн критичСский ΡƒΡ€ΠΎΠ²Π΅Π½ΡŒ опасности. Π£ΡΠ·Π²ΠΈΠΌΠΎΡΡ‚ΡŒ позволяСт Π°ΡƒΡ‚Π΅Π½Ρ‚ΠΈΡ„ΠΈΡ†ΠΈΡ€ΠΎΠ²Π°Π½Π½ΠΎΠΌΡƒ ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»ΡŽ Π·Π°ΠΏΠΈΡΠ°Ρ‚ΡŒ Ρ„Π°ΠΉΠ»Ρ‹ Π² любой ΠΊΠ°Ρ‚Π°Π»ΠΎΠ³ Π½Π° сСрвСрС, насколько это ΠΏΠΎΠ·Π²ΠΎΠ»ΡΡŽΡ‚ ΠΏΡ€Π°Π²Π° доступа, ΠΏΠΎΠ΄ ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΌΠΈ выполняСтся web-интСрфСйс GitLab.

Π£ΡΠ·Π²ΠΈΠΌΠΎΡΡ‚ΡŒ Π²Ρ‹Π·Π²Π°Π½Π° ошибкой Π² Ρ€Π΅Π°Π»ΠΈΠ·Π°Ρ†ΠΈΠΈ Ρ„ΡƒΠ½ΠΊΡ†ΠΈΠΈ создания Ρ€Π°Π±ΠΎΡ‡ΠΈΡ… пространств (workspace). Ошибка проявляСтся ΠΏΡ€ΠΈ Ρ€Π°Π·Π±ΠΎΡ€Π΅ ΠΏΠ°Ρ€Π°ΠΌΠ΅Ρ‚Ρ€ΠΎΠ² devfile, Π·Π°Π΄Π°Π½Π½Ρ‹Ρ… Π² Π½Π΅ΠΊΠΎΡ€Ρ€Π΅ΠΊΡ‚Π½ΠΎΠΌ Ρ„ΠΎΡ€ΠΌΠ°Ρ‚Π΅ YAML (Π² ΠΏΠ°Ρ‚Ρ‡Π΅ ΠΏΡ€ΠΎΠ±Π»Π΅ΠΌΠ° Ρ€Π΅ΡˆΠ΅Π½Π° ΠΏΡ€Π΅ΠΎΠ±Ρ€Π°Π·ΠΎΠ²Π°Π½ΠΈΠ΅ΠΌ YAML Π² JSON ΠΈ ΠΏΡ€ΠΎΠ²Π΅Ρ€ΠΊΠΎΠΉ наличия конструкций, ΠΊΠΎΡ€Ρ€Π΅ΠΊΡ‚Π½Ρ‹Ρ… Π² YAML, Π½ΠΎ нСдопустимых Π² JSON ΠΈΠ·-Π·Π° использования ΠΎΠΏΡ€Π΅Π΄Π΅Π»Ρ‘Π½Π½Ρ‹Ρ… Unicode-символов). Π”Π΅Ρ‚Π°Π»ΡŒΠ½ΡƒΡŽ ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΡŽ ΠΎΠ± уязвимости ΠΏΠ»Π°Π½ΠΈΡ€ΡƒΡŽΡ‚ Ρ€Π°ΡΠΊΡ€Ρ‹Ρ‚ΡŒ Ρ‡Π΅Ρ€Π΅Π· 30 Π΄Π½Π΅ΠΉ послС ΠΏΡƒΠ±Π»ΠΈΠΊΠ°Ρ†ΠΈΠΈ исправлСния. Π£ΡΠ·Π²ΠΈΠΌΠΎΡΡ‚ΡŒ выявлСна Π² Ρ…ΠΎΠ΄Π΅ Π²Π½ΡƒΡ‚Ρ€Π΅Π½Π½Π΅ΠΉ ΠΏΡ€ΠΎΠ²Π΅Ρ€ΠΊΠΈ ΠΎΠ΄Π½ΠΈΠΌ ΠΈΠ· сотрудников ΠΊΠΎΠΌΠΏΠ°Π½ΠΈΠΈ GitLab.

Π˜ΡΡ‚ΠΎΡ‡Π½ΠΈΠΊ: opennet.ru