Opravné aktualizace platformy pro kolaborativní vývoj GitLab 14.7.7, 14.8.5 a 14.9.2 odstraňují kritickou zranitelnost (CVE-2022-1162) spojenou s nastavením pevně zakódovaných hesel pro účty registrované pomocí poskytovatele OmniAuth (OAuth), LDAP a SAML) . Tato chyba zabezpečení potenciálně umožňuje útočníkovi získat přístup k účtu. Všem uživatelům se doporučuje, aby si aktualizaci ihned nainstalovali. Podrobnosti problému zatím nebyly zveřejněny. Uživatelé, jejichž účty byly tímto problémem ovlivněny, byli vyzváni, aby resetovali svá hesla. Problém byl identifikován zaměstnanci GitLabu a vyšetřování neodhalilo žádné stopy po kompromitaci uživatele.
Nové verze také eliminují 16 dalších zranitelností, z nichž 2 jsou označeny jako nebezpečné, 9 středně závažných a 5 nebezpečných. Mezi nebezpečné problémy patří možnost vložení HTML (XSS) do komentářů (CVE-2022-1175) a komentáře/popisy v čísle (CVE-2022-1190).
Zdroj: opennet.ru