Korektigaj ĝisdatigoj al la kunlabora disvolva platformo GitLab 14.8.2, 14.7.4 kaj 14.6.5 forigas kritikan vundeblecon (CVE-2022-0735), kiu permesas al neaŭtorizita uzanto ĉerpi registrajn ĵetonojn en la GitLab Runner, kiu estas uzata por voki prizorgantojn. dum konstruado de projektkodo en kontinua integriga sistemo. Detaloj ankoraŭ ne estas provizitaj, nur ke la problemo estas kaŭzita de informfluo dum uzado de Rapidaj Agoj-komandoj.
La problemo estis identigita de la personaro de GitLab kaj influas versiojn 12.10 ĝis 14.6.5, 14.7 ĝis 14.7.4 kaj 14.8 ĝis 14.8.2. Uzantoj konservantaj kutimajn instalaĵojn de GitLab estas konsilitaj instali la ĝisdatigon aŭ apliki la flikilon kiel eble plej baldaŭ. La problemo estis solvita limigante aliron al Rapidaj Agoj-komandoj al nur uzantoj kun skriba permeso. Post instalo de la ĝisdatigo aŭ individuaj "ĵeton-prefikso" flikiloj, registriĝaj ĵetonoj en Runner antaŭe kreitaj por grupoj kaj projektoj estos rekomencigitaj kaj regeneritaj.
Krom la kritika vundebleco, la novaj versioj ankaŭ forigas 6 malpli danĝerajn vundeblecojn, kiuj povas konduki al senprivilegia uzanto aldono de aliaj uzantoj al grupoj, misinformado de uzantoj per manipulado de la enhavo de Fragmentoj, elfluo de mediaj variabloj per la sendmail-livermetodo, determini la ĉeeston de uzantoj per la GraphQL API, elfluo de pasvortoj dum spegulado de deponejoj per SSH en tira reĝimo, DoS-atako per la komenta submetado-sistemo.
fonto: opennet.ru