Cuireann nuashonruithe ceartaitheacha ar an ardán forbartha comhoibritheach GitLab 14.8.2, 14.7.4 agus 14.6.5 deireadh le leochaileacht chriticiúil (CVE-2022-0735) a ligeann d'úsáideoir neamhúdaraithe comharthaí clárúcháin a bhaint as an GitLab Runner, a úsáidtear chun láimhseálaithe a ghlaoch. agus cód tionscadail á thógáil i gcóras comhtháthaithe leanúnach. Níl sonraí ar fáil go fóill, ach go bhfuil an fhadhb is cúis le sceitheadh faisnéise nuair a úsáidtear orduithe Gníomhartha Tapa.
D’aithin foireann GitLab an cheist agus bíonn tionchar aici ar leaganacha 12.10 go 14.6.5, 14.7 go 14.7.4, agus 14.8 go 14.8.2. Moltar d’úsáideoirí a chothaíonn suiteálacha GitLab saincheaptha an nuashonrú a shuiteáil nó an paiste a chur i bhfeidhm chomh luath agus is féidir. Réitíodh an cheist trí rochtain ar orduithe Gníomhartha Tapa a shrianadh d'úsáideoirí amháin a bhfuil cead scríofa acu. Tar éis an nuashonrú nó paistí aonair “réimír comhartha” a shuiteáil, déanfar comharthaí clárúcháin sa Runner a cruthaíodh roimhe seo do ghrúpaí agus do thionscadail a athshocrú agus a athghiniúint.
Chomh maith leis an leochaileacht chriticiúil, cuireann na leaganacha nua deireadh le 6 leochaileacht nach lú chomh contúirteach a d’fhéadfadh úsáideoirí neamhphríobháideacha a bheith mar thoradh orthu ag cur úsáideoirí eile le grúpaí, faisnéis mhícheart úsáideoirí trí ionramháil a dhéanamh ar ábhar Blúire, sceitheadh athróg timpeallachta tríd an modh seachadta seoltaí, chun láithreacht úsáideoirí a chinneadh tríd an API GraphQL, sceitheadh pasfhocail agus iad ag scáthánú stórtha trí SSH i mód tarraingt, ionsaí DoS tríd an gcóras aighneachta tráchta.
Foinse: oscailtenet.ru