Es wurden Korrekturupdates fĂŒr die Plattform zur Organisation der Zusammenarbeit â GitLab 15.11.2, 15.10.6 und 15.9.7 veröffentlicht. Diese beseitigen eine kritische SicherheitsanfĂ€lligkeit (CVE-2023-2478), die es jedem authentifizierten Benutzer ermöglicht, durch Manipulation mit der GraphQL-API einen eigenen Runner-Handler (eine Anwendung zum AusfĂŒhren von Aufgaben beim Bauen des Projektcodes im kontinuierlichen Integrationssystem) an jedes Projekt auf demselben Server anzuhĂ€ngen. Details zur Ausnutzung werden derzeit nicht bereitgestellt. Informationen ĂŒber die SicherheitsanfĂ€lligkeit wurden im Rahmen des laufenden Programms zur Belohnung von Sicherheitsforschern auf HackerOne an GitLab ĂŒbermittelt.
Quelle: opennet.ru