Korjaavat päivitykset yhteistyökehitysalustaan GitLab 14.7.7, 14.8.5 ja 14.9.2 poistavat kriittisen haavoittuvuuden (CVE-2022-1162), joka liittyy OmniAuth (OAuth) -palveluntarjoajan, LDAP:n ja SAML:n kautta rekisteröityjen tilien kovakoodattujen salasanojen asettamiseen. . Haavoittuvuus antaa hyökkääjälle mahdollisuuden päästä tilille. Kaikkia käyttäjiä kehotetaan asentamaan päivitys välittömästi. Ongelman yksityiskohtia ei ole vielä julkistettu. Käyttäjiä, joiden tilejä ongelma koskee, on kehotettu vaihtamaan salasanansa. GitLabin työntekijät tunnistivat ongelman, eikä tutkinta paljastanut merkkejä käyttäjän kompromisseista.
Uudet versiot poistavat myös 16 muuta haavoittuvuutta, joista 2 on merkitty vaarallisiksi, 9 kohtalaisia ja 5 ei vaarallisia. Vaarallisia ongelmia ovat HTML-injektion (XSS) mahdollisuus kommenteissa (CVE-2022-1175) ja kommenteissa/kuvauksissa (CVE-2022-1190).
Lähde: opennet.ru