In den Korrekturupdates der Plattform fĂŒr die gemeinsame Entwicklung GitLab 15.3.1, 15.2.3 und 15.1.5 wurde eine kritische Schwachstelle (CVE-2022-2884) behoben, die es einem authentifizierten Benutzer mit Zugang zur API zum Import von Daten aus GitHub ermöglicht, Code auf dem Server remote auszufĂŒhren. Details zur Ausnutzung werden derzeit nicht veröffentlicht. Die Schwachstelle wurde von einem Sicherheitsforscher im Rahmen des bestehenden Belohnungsprogramms auf HackerOne entdeckt.
Als Workaround wird dem Administrator empfohlen, die Importfunktion von GitHub zu deaktivieren (im Web-Interface von GitLab: âMenuâ -> âAdminâ -> âSettingsâ -> âGeneralâ -> âVisibility and access controlsâ -> âImport sourcesâ -> âGitHubâ deaktivieren).
Quelle: opennet.ru
