Հրապարակվել են համագործակցային զարգացման կազմակերպման հարթակի ուղղիչ թարմացումներ՝ GitLab 16.8.1, 16.7.4, 16.6.6 և 16.5.8, որոնցում ֆիքսված են 5 խոցելիություններ: Հարցերից մեկին (CVE-2024-0402), որը ի հայտ է եկել GitLab 16.0-ի թողարկումից հետո, նշանակվել է ծանրության կրիտիկական մակարդակ: Խոցելիությունը թույլ է տալիս վավերացված օգտատիրոջը ֆայլեր գրել սերվերի ցանկացած գրացուցակում, այնքանով, որքանով դա թույլատրվում է մուտքի իրավունքով, որի ներքո աշխատում է GitLab վեբ ինտերֆեյսը:
Խոցելիությունը առաջացել է աշխատանքային տարածքի ստեղծման գործառույթի իրականացման սխալի պատճառով: Սխալը հայտնվում է, երբ վերլուծում են devfile-ի պարամետրերը, որոնք նշված են YAML-ի սխալ ձևաչափով (կարկատում խնդիրը լուծվում է YAML-ը JSON-ի վերափոխելու և YAML-ում ճիշտ, բայց JSON-ում անվավեր կառուցվածքների առկայությունը ստուգելու միջոցով՝ որոշակի ձևաչափերի օգտագործման պատճառով: Յունիկոդի նիշերը): Խոցելիության մասին մանրամասն տեղեկատվությունը նախատեսվում է հրապարակել կարկատի հրապարակումից 30 օր հետո։ Խոցելիությունը հայտնաբերվել է GitLab-ի աշխատակիցներից մեկի կողմից ներքին աուդիտի ժամանակ:
Source: opennet.ru
