Bidh ùrachaidhean ceart air an àrd-ùrlar leasachaidh co-obrachail GitLab 14.8.2, 14.7.4 agus 14.6.5 a’ cur às do chugallachd èiginneach (CVE-2022-0735) a leigeas le neach-cleachdaidh gun chead comharran clàraidh a thoirt a-mach anns an GitLab Runner, a thathas a’ cleachdadh gus luchd-làimhseachaidh a ghairm. nuair a bhios tu a’ togail còd pròiseict ann an siostam amalachaidh leantainneach. Chan eil mion-fhiosrachadh air a thoirt seachad fhathast, dìreach gu bheil an duilgheadas air adhbhrachadh le aodion fiosrachaidh nuair a bhios tu a’ cleachdadh òrdughan Quick Actions.
Chaidh a’ chùis a chomharrachadh le luchd-obrach GitLab agus bheir e buaidh air dreachan 12.10 gu 14.6.5, 14.7 gu 14.7.4, agus 14.8 gu 14.8.2. Thathas a’ comhairleachadh luchd-cleachdaidh a tha a’ cumail suas ionadan àbhaisteach GitLab an ùrachadh a chuir a-steach no am paiste a chuir an sàs cho luath ‘s a ghabhas. Chaidh a’ chùis a rèiteach le bhith a’ cuingealachadh ruigsinneachd gu òrdughan Quick Actions gu dìreach luchd-cleachdaidh le cead sgrìobhaidh. Às deidh dhut an ùrachadh no na pìosan “token-prefix” fa leth a chuir a-steach, thèid comharran clàraidh ann an Runner a chaidh a chruthachadh roimhe seo airson buidhnean agus pròiseactan ath-shuidheachadh agus ath-nuadhachadh.
A bharrachd air an so-leòntachd èiginneach, tha na dreachan ùra cuideachd a’ cuir às do 6 so-leòntachd nach eil cho cunnartach a dh’ fhaodadh leantainn gu neach-cleachdaidh neo-leasaichte a ’cur luchd-cleachdaidh eile ri buidhnean, fiosrachadh ceàrr mu luchd-cleachdaidh tro bhith a’ làimhseachadh susbaint Bìobaill, aodion caochladairean àrainneachd tron dòigh lìbhrigidh post-d, a’ dearbhadh làthaireachd luchd-cleachdaidh tro API GraphQL, a’ leigeil a-mach faclan-faire nuair a bhios iad a’ nochdadh tasgaidhean tro SSH ann am modh tarraing, ionnsaigh DoS tron t-siostam tagraidh bheachdan.
Source: fosgailtenet.ru