Mizajou korektif nan platfòm devlopman kolaboratif GitLab 14.8.2, 14.7.4 ak 14.6.5 elimine yon vilnerabilite kritik (CVE-2022-0735) ki pèmèt yon itilizatè san otorizasyon ekstrè siy anrejistreman nan GitLab Runner, ki itilize pou rele moun kap okipe yo. lè bati kòd pwojè nan yon sistèm entegrasyon kontinyèl. Detay yo poko bay, sèlman ke pwoblèm nan ki te koze pa flit enfòmasyon lè w ap itilize kòmand Quick Actions.
Pwoblèm nan te idantifye pa anplwaye GitLab e li afekte vèsyon 12.10 a 14.6.5, 14.7 a 14.7.4, ak 14.8 a 14.8.2. Itilizatè ki kenbe enstalasyon GitLab koutim yo konseye yo enstale aktyalizasyon a oswa aplike patch la pi vit ke posib. Pwoblèm lan te rezoud lè yo mete restriksyon sou aksè a kòmandman Quick Actions a sèlman itilizatè ki gen pèmisyon ekri. Apre w fin enstale patch yo aktyalizasyon oswa endividyèl "jeton-prefiks", yo pral reset ak rejenere siy enskripsyon nan Runner te kreye deja pou gwoup ak pwojè yo.
Anplis vilnerabilite kritik, nouvo vèsyon yo tou elimine 6 vilnerabilite ki mwens danjere ki ka mennen nan yon itilizatè san privilèj ajoute lòt itilizatè yo nan gwoup, move enfòmasyon itilizatè yo atravè manipilasyon nan kontni Frag yo, flit nan varyab anviwònman atravè metòd la livrezon sendmail, detèmine prezans itilizatè yo atravè API GraphQL, flit modpas lè reflete repozitwa atravè SSH nan mòd rale, atak DoS atravè sistèm soumèt kòmantè.
Sous: opennet.ru