Ua paʻi ʻia nā hoʻoponopono hoʻoponopono i ka paepae no ka hoʻonohonoho ʻana i ka hoʻomohala ʻana - GitLab 16.7.2, 16.6.4 a me 16.5.6, kahi e hoʻoponopono ai i ʻelua mau pilikia koʻikoʻi. ʻO ka haʻahaʻa mua (CVE-2023-7028), i hāʻawi ʻia i ka pae kiʻekiʻe loa (10 mai ka 10), hiki iā ʻoe ke hopu i ka moʻokāki o kekahi ma o ka hoʻopunipuni ʻana i ka palapala hoʻihoʻi ʻōlelo huna. Hoʻokumu ʻia ka nāwaliwali ma muli o ka hiki ke hoʻouna ʻana i kahi leka uila me kahi code reset password i nā leka uila i hōʻoia ʻole ʻia. Ua ʻike ʻia ka pilikia ma hope o ka hoʻokuʻu ʻia ʻana o GitLab 16.1.0, ka mea i hoʻolauna i ka hiki ke hoʻouna i kahi code recovery password i kahi leka uila hoʻihoʻi ʻole ʻia.
No ka nānā ʻana i nā ʻoiaʻiʻo o ka ʻae ʻana o nā ʻōnaehana, ua manaʻo ʻia e loiloi i loko o ka gitlab-rails/production_json.log log i ka hele ʻana o nā noi HTTP i ka mea hoʻohana / password handler e hōʻike ana i kahi ʻano o nā leka uila ma ka "params.value.email. ” parameter. Manaʻo ʻia e nānā i nā mea komo i loko o ka log gitlab-rails/audit_json.log me ka waiwai PasswordsController#create in meta.caller.id a e hōʻike ana i kahi ʻano o nā helu he nui i ka poloka target_details. ʻAʻole hiki ke hoʻopau ʻia ka hoʻouka ʻana inā ʻae ka mea hoʻohana i ka hōʻoia ʻelua kumu.
ʻO ka lua o ka nāwaliwali, CVE-2023-5356, aia i loko o ke code no ka hoʻohui ʻana me nā lawelawe ʻo Slack a me Mattermost, a hiki iā ʻoe ke hoʻokō /-kauoha ma lalo o kahi mea hoʻohana ʻē aʻe ma muli o ka nele o ka nānā ʻana i ka mana kūpono. Hāʻawi ʻia ka pilikia i kahi pae koʻikoʻi o 9.6 mai ka 10. Hoʻopau pū nā mana hou i kahi nāwaliwali liʻiliʻi (7.6 mai ka 10) (CVE-2023-4812), e hiki ai iā ʻoe ke kāpae i ka ʻae ʻana o CODEOWNERS ma o ka hoʻohui ʻana i nā loli i kahi mea i ʻae ʻia ma mua. noi hui.
Hoʻolālā ʻia ka ʻike kikoʻī e pili ana i nā nāwaliwali i ʻike ʻia e hōʻike ʻia 30 mau lā ma hope o ka hoʻolaha ʻana o ka hoʻoponopono. Ua waiho ʻia nā mea nāwaliwali iā GitLab ma ke ʻano he ʻāpana o ka papahana makana haʻahaʻa a HackerOne.
Source: opennet.ru