Les mises à jour correctives de la plateforme de développement collaboratif GitLab 14.8.2, 14.7.4 et 14.6.5 éliminent une vulnérabilité critique (CVE-2022-0735) qui permet à un utilisateur non autorisé d'extraire des jetons d'enregistrement dans GitLab Runner, qui est utilisé pour appeler les gestionnaires. lors de la création du code du projet dans un système d'intégration continue. Les détails ne sont pas encore fournis, mais le problème est dû à une fuite d'informations lors de l'utilisation des commandes d'actions rapides.
Le problème a été identifié par le personnel de GitLab et affecte les versions 12.10 à 14.6.5, 14.7 à 14.7.4 et 14.8 à 14.8.2. Il est conseillé aux utilisateurs qui maintiennent des installations GitLab personnalisées d'installer la mise à jour ou d'appliquer le correctif dès que possible. Le problème a été résolu en limitant l'accès aux commandes d'actions rapides aux seuls utilisateurs disposant d'une autorisation en écriture. Après avoir installé la mise à jour ou les correctifs individuels « préfixe de jeton », les jetons d'enregistrement dans Runner précédemment créés pour les groupes et les projets seront réinitialisés et régénérés.
En plus de la vulnérabilité critique, les nouvelles versions éliminent également 6 vulnérabilités moins dangereuses qui peuvent conduire un utilisateur non privilégié à ajouter d'autres utilisateurs à des groupes, à des informations erronées sur les utilisateurs via la manipulation du contenu des extraits de code, à une fuite de variables d'environnement via la méthode de livraison sendmail, détermination de la présence d'utilisateurs via l'API GraphQL, fuite de mots de passe lors de la mise en miroir de référentiels via SSH en mode pull, attaque DoS via le système de soumission de commentaires.
Source: opennet.ru