Kev kho tshiab rau lub platform rau kev txhim kho kev sib koom tes tau tshaj tawm - GitLab 16.7.2, 16.6.4 thiab 16.5.6, uas kho ob qhov tsis zoo. Thawj qhov muaj qhov tsis zoo (CVE-2023-7028), uas tau muab rau qib siab tshaj plaws (10 tawm ntawm 10), tso cai rau koj mus txeeb lwm tus tus account los ntawm kev siv cov ntaub ntawv tsis nco qab lo lus zais rov qab. Qhov tsis zoo yog tshwm sim los ntawm qhov muaj peev xwm xa email nrog tus password rov pib dua rau cov email tsis tau lees paub. Qhov teeb meem tau tshwm sim txij li thaum tso tawm GitLab 16.1.0, uas tau qhia txog lub peev xwm xa tus password rov qab mus rau qhov tsis tau lees paub email chaw nyob.
Txhawm rau txheeb xyuas qhov tseeb ntawm kev sib haum xeeb ntawm cov tshuab, nws tau npaj siab los soj ntsuam hauv gitlab-rails/production_json.log log qhov muaj HTTP thov rau /users/password handler qhia txog ntau yam email hauv "params.value.email. β parameter. Nws kuj tau hais kom kuaj xyuas cov ntawv nkag hauv gitlab-rails/audit_json.log log nrog tus nqi PasswordsController#tsim hauv meta.caller.id thiab qhia txog ntau qhov chaw nyob hauv target_details thaiv. Qhov kev tawm tsam tsis tuaj yeem ua tiav yog tias tus neeg siv ua kom muaj ob qhov kev lees paub tseeb.
Qhov tsis zoo thib ob, CVE-2023-5356, yog tam sim no nyob rau hauv cov cai rau kev koom ua ke nrog Slack thiab Mattermost cov kev pabcuam, thiab tso cai rau koj ua /-cov lus txib hauv qab lwm tus neeg siv vim tsis muaj kev tso cai kom raug. Qhov teeb meem tau muab qhov hnyav ntawm 9.6 ntawm 10. Cov ntawv tshiab kuj tshem tawm qhov tsis txaus ntshai (7.6 tawm ntawm 10) qhov tsis zoo (CVE-2023-4812), uas tso cai rau koj hla kev pom zoo CODEOWNERS los ntawm kev ntxiv cov kev hloov pauv rau qhov kev pom zoo yav dhau los sib koom thov.
Cov ncauj lus kom ntxaws txog cov teeb meem uas tau txheeb xyuas tau npaj kom nthuav tawm 30 hnub tom qab tshaj tawm qhov kho. Cov qhov tsis zoo tau raug xa mus rau GitLab raws li ib feem ntawm HackerOne qhov kev pabcuam nyiaj txiag tsis zoo.
Tau qhov twg los: opennet.ru