Korrekturaktualisierungen der kollaborativen Entwicklungsplattform GitLab 14.7.7, 14.8.5 und 14.9.2 beseitigen eine kritische Schwachstelle (CVE-2022-1162), die mit der Festlegung hartcodierter Passwörter für Konten verbunden ist, die über den OmniAuth-Anbieter (OAuth), LDAP und SAML registriert sind. . Die Sicherheitslücke ermöglicht es einem Angreifer möglicherweise, Zugriff auf das Konto zu erhalten. Allen Benutzern wird empfohlen, das Update sofort zu installieren. Einzelheiten des Problems wurden noch nicht bekannt gegeben. Benutzer, deren Konten von dem Problem betroffen waren, wurden aufgefordert, ihre Passwörter zurückzusetzen. Das Problem wurde von GitLab-Mitarbeitern identifiziert und die Untersuchung ergab keine Anzeichen einer Benutzerkompromittierung.
Die neuen Versionen beseitigen außerdem 16 weitere Schwachstellen, von denen 2 als gefährlich, 9 als mittelschwer und 5 als nicht gefährlich eingestuft sind. Zu den gefährlichen Problemen gehört die Möglichkeit der HTML-Injection (XSS) in Kommentaren (CVE-2022-1175) und Kommentaren/Beschreibungen in Issues (CVE-2022-1190).
Source: opennet.ru