GitLab on avaldanud oma koostöö arendamise korraldamise platvormi järgmised parandusvärskendused – 15.3.2, 15.2.4 ja 15.1.6, mis kõrvaldavad kriitilise haavatavuse (CVE-2022-2992), mis võimaldab autentitud kasutajal koodi kaugkäivitada. serveris. Nagu nädal tagasi parandatud haavatavus CVE-2022-2884, on GitHubi teenusest andmete importimise API-s uus probleem. Haavatavus ilmneb ka versioonides 15.3.1, 15.2.3 ja 15.1.5, mis parandasid GitHubist imporditava koodi esimese haavatavuse.
Tegevuse üksikasju pole veel edastatud. Teave haavatavuse kohta esitati GitLabile HackerOne'i haavatavuse bounty programmi osana, kuid erinevalt eelmisest probleemist tuvastas selle teine osaleja. Lahendusena on soovitatav, et administraator keelaks GitHubist importimise funktsiooni (GitLabi veebiliideses: "Menüü" -> "Administraator" -> "Seaded" -> "Üldine" -> "Nähtavus ja juurdepääsu juhtelemendid" - > "Impordi allikad" -> keelake "GitHub").
Lisaks parandavad kavandatavad uuendused veel 14 turvaauku, millest kaks on märgitud ohtlikuks, kümnele on määratud keskmine ohutase ja kahele on märgitud healoomuline. Ohtlikuks tunnistatakse: haavatavus CVE-2022-2865, mis võimaldab värvisiltide manipuleerimise kaudu teistele kasutajatele kuvatavatele lehtedele oma JavaScripti koodi lisada, samuti haavatavus CVE-2022-2527, mis võimaldab asendada oma sisu juhtumite skaala ajaskaala kirjeldusvälja kaudu). Mõõduka raskusastmega haavatavused on peamiselt seotud teenusest keeldumise võimalusega.
Allikas: opennet.ru