GitLab hat die nächste Reihe korrigierender Updates für seine Plattform zur Organisation der kollaborativen Entwicklung veröffentlicht – 15.3.2, 15.2.4 und 15.1.6, die eine kritische Schwachstelle (CVE-2022-2992) beseitigen, die es einem authentifizierten Benutzer ermöglicht, Code aus der Ferne auszuführen auf dem Server. Ebenso wie die vor einer Woche behobene Schwachstelle CVE-2022-2884 liegt ein neues Problem in der API zum Importieren von Daten aus dem GitHub-Dienst vor. Die Schwachstelle taucht auch in den Releases 15.3.1, 15.2.3 und 15.1.5 auf, wodurch die erste Schwachstelle im Importcode von GitHub behoben wurde.
Operative Details wurden noch nicht bekannt gegeben. Informationen über die Sicherheitslücke wurden im Rahmen des Sicherheitslücken-Bounty-Programms von HackerOne an GitLab übermittelt, aber im Gegensatz zum vorherigen Problem wurde sie von einem anderen Teilnehmer identifiziert. Als Workaround wird dem Administrator empfohlen, die Importfunktion von GitHub zu deaktivieren (im GitLab-Webinterface: „Menü“ -> „Admin“ -> „Einstellungen“ -> „Allgemein“ -> „Sichtbarkeit und Zugriffskontrollen“ - > „Quellen importieren“ -> „GitHub“ deaktivieren).
Darüber hinaus beheben die vorgeschlagenen Updates 14 weitere Schwachstellen, von denen zwei als gefährlich, zehn als mittelschwer und zwei als harmlos eingestuft werden. Als gefährlich gelten die Schwachstelle CVE-2022-2865, die es Ihnen ermöglicht, durch Manipulation von Farbetiketten Ihren eigenen JavaScript-Code in Seiten einzufügen, die anderen Benutzern angezeigt werden, sowie die Schwachstelle CVE-2022-2527, die dies ermöglicht Ersetzen Sie Ihren Inhalt durch das Beschreibungsfeld in der Zeitleiste der Vorfallskala. Schwachstellen mit mittlerem Schweregrad stehen in erster Linie im Zusammenhang mit der Möglichkeit eines Denial-of-Service.
Source: opennet.ru