GitLab 14.8.2, 14.7.4 eta 14.6.5 garapen kolaboratiboko plataformaren eguneratze zuzentzaileek ahultasun kritiko bat (CVE-2022-0735) ezabatzen dute, baimenik gabeko erabiltzaile bati erregistro-tokenak ateratzeko GitLab Runner-en, kudeatzaileei deitzeko erabiltzen dena. proiektuaren kodea etengabeko integrazio-sistema batean eraikitzean. Xehetasunak oraindik ez dira ematen, arazoa Ekintza azkarreko komandoak erabiltzean informazio-isuriak eragiten duela soilik.
Arazoa GitLab-eko langileek identifikatu zuten eta 12.10etik 14.6.5, 14.7tik 14.7.4 eta 14.8tik 14.8.2 bertsioetara eragiten du. GitLab instalazio pertsonalizatuak mantentzen dituzten erabiltzaileei eguneratzea instalatzea edo adabakia ahalik eta azkarren aplikatzea gomendatzen zaie. Arazoa Ekintza azkarreko komandoetarako sarbidea idazteko baimena duten erabiltzaileei soilik mugatuz konpondu zen. Eguneraketa edo banakako "token-aurrizkia" adabakiak instalatu ondoren, aurretik talde eta proiektuetarako sortutako Runner-en erregistratzeko tokenak berrezarri eta birsortuko dira.
Ahultasun kritikoaz gain, bertsio berriek 6 ahultasun hain arriskutsu ezabatzen dituzte, pribilegiorik gabeko erabiltzaileak taldeetan beste erabiltzaile batzuk gehitzea, erabiltzaileen informazio okerra Snippets-en edukien manipulazioaren bidez, ingurune-aldagaien ihesak sendmail bidalketa metodoaren bidez, GraphQL APIaren bidez erabiltzaileen presentzia zehaztea, pasahitzen ihesak SSH bidez biltegiak ispiluan tiratzeko moduan, DoS erasoa iruzkinak bidaltzeko sistemaren bidez.
Iturria: opennet.ru