GitLab hat de folgjende searje korrektive updates publisearre foar har platfoarm foar it organisearjen fan gearwurkingsûntwikkeling - 15.3.2, 15.2.4 en 15.1.6, dy't in krityske kwetsberens eliminearje (CVE-2022-2992) wêrtroch in autentike brûker koade op ôfstân kin útfiere op de tsjinner. Lykas de CVE-2022-2884 kwetsberens, dy't in wike lyn waard reparearre, is in nij probleem oanwêzich yn 'e API foar it ymportearjen fan gegevens fan' e GitHub-tsjinst. De kwetsberens ferskynt ek yn releases 15.3.1, 15.2.3 en 15.1.5, dy't de earste kwetsberens repareare yn 'e ymportkoade fan GitHub.
Operasjonele details binne noch net levere. Ynformaasje oer de kwetsberens waard yntsjinne by GitLab as ûnderdiel fan HackerOne's kwetsberensbountyprogramma, mar yn tsjinstelling ta it foarige probleem waard it identifisearre troch in oare dielnimmer. As in oplossing is it oan te rieden dat de behearder de ymportfunksje fan GitHub útskeakelje (yn 'e GitLab-webynterface: "Menu" -> "Admin" -> "Ynstellings" -> "Algemien" -> "Sichtberens en tagongskontrôles" - > "Ymportearje boarnen" -> "GitHub" útskeakelje.
Derneist reparearje de foarstelde fernijings 14 mear kwetsberens, wêrfan twa binne markearre as gefaarlik, tsien wurde tawiisd in medium nivo fan gefaar, en twa wurde markearre as goedaardige. De folgjende wurde erkend as gefaarlik: kwetsberens CVE-2022-2865, wêrmei jo jo eigen JavaScript-koade kinne tafoegje oan siden werjûn oan oare brûkers troch manipulaasje fan kleuretiketten, lykas kwetsberens CVE-2022-2527, wêrtroch it mooglik is om ferfange jo ynhâld fia it beskriuwingsfjild yn 'e Timeline fan' e Incidents-skaal). Kwetsberheden mei matige earnst binne benammen relatearre oan de mooglikheid fan ûntkenning fan tsjinst.
Boarne: opennet.ru