Az együttműködési fejlesztési platform GitLab 14.7.7, 14.8.5 és 14.9.2 javító frissítései kiküszöbölnek egy kritikus biztonsági rést (CVE-2022-1162), amely az OmniAuth (OAuth) szolgáltató, LDAP és SAML segítségével regisztrált fiókok keménykódolt jelszavainak beállításához kapcsolódik. . A biztonsági rés potenciálisan lehetővé teszi a támadó számára, hogy hozzáférjen a fiókhoz. Minden felhasználónak azt tanácsoljuk, hogy azonnal telepítse a frissítést. A probléma részleteit egyelőre nem hozták nyilvánosságra. Azokat a felhasználókat, akiknek fiókját érintette a probléma, a rendszer arra kérte, hogy állítsák vissza jelszavaikat. A problémát a GitLab munkatársai azonosították, és a vizsgálat nem tárt fel felhasználói kompromittálás nyomait.
Az új verziók további 16 sebezhetőséget is megszüntetnek, amelyek közül 2 veszélyesnek, 9 közepes és 5 nem veszélyesnek van megjelölve. A veszélyes problémák közé tartozik a HTML-befecskendezés (XSS) lehetősége a megjegyzésekben (CVE-2022-1175) és a kiadásban szereplő megjegyzésekben/leírásokban (CVE-2022-1190).
Forrás: opennet.ru