Hoʻoponopono nā mea hou i ka papahana hoʻomohala hui ʻo GitLab 14.8.2, 14.7.4 a me 14.6.5 e hoʻopau i kahi nāwaliwali koʻikoʻi (CVE-2022-0735) e hiki ai i kahi mea hoʻohana ʻole ke unuhi i nā hōʻailona inoa ma ka GitLab Runner, i hoʻohana ʻia e kāhea i nā mea lawelawe. i ke kūkulu ʻana i ke code papahana ma kahi ʻōnaehana hoʻohui mau. ʻAʻole i hāʻawi ʻia nā kikoʻī, aia wale nō ke kumu o ka leakage ʻike i ka wā e hoʻohana ai i nā kauoha Quick Actions.
Ua ʻike ʻia ka pilikia e nā limahana GitLab a pili i nā mana 12.10 a i 14.6.5, 14.7 a i 14.7.4, a me 14.8 a i 14.8.2. Manaʻo ʻia nā mea hoʻohana e mālama ana i nā hoʻonohonoho GitLab maʻamau e hoʻokomo i ka hoʻopou a hoʻopili i ka patch i ka hiki. Ua hoʻoholo ʻia ka pilikia ma ka hoʻopaʻa ʻana i ke komo ʻana i nā kauoha Quick Actions i nā mea hoʻohana wale nō me ka ʻae kākau. Ma hope o ka hoʻokomo ʻana i ka hōʻano hou a i ʻole nā ʻāpana "token-prefix", e hoʻihoʻi hou ʻia nā hōʻailona inoa ma Runner i hana mua ʻia no nā hui a me nā papahana.
Ma waho aʻe o ka nāwaliwali koʻikoʻi, hoʻopau pū nā mana hou i ka 6 mau nāwaliwali liʻiliʻi e hiki ke alakaʻi i kahi mea hoʻohana pono ʻole e hoʻohui i nā mea hoʻohana ʻē aʻe i nā pūʻulu, misinformation o nā mea hoʻohana ma o ka hoʻopunipuni ʻana i nā ʻike o nā Snippets, leakage o nā ʻano like ʻole ma o ke ala hoʻouna leka uila, ka hoʻoholo ʻana i ka hele ʻana o nā mea hoʻohana ma o ka GraphQL API, ka leakage o nā ʻōlelo huna i ka wā e hoʻohālikelike ai i nā waihona ma o SSH ma ke ʻano huki, hoʻouka DoS ma o ka ʻōnaehana hoʻouna ʻōlelo.
Source: opennet.ru