Nganyari korektif kanggo platform pangembangan kolaboratif GitLab 14.8.2, 14.7.4 lan 14.6.5 ngilangi kerentanan kritis (CVE-2022-0735) sing ngidini pangguna sing ora sah ngekstrak token registrasi ing GitLab Runner, sing digunakake kanggo nelpon panangan. nalika mbangun kode proyek ing sistem integrasi sing terus-terusan. Rincian durung diwenehake, mung masalah kasebut disebabake bocor informasi nalika nggunakake printah Tindakan Cepet.
Masalah kasebut diidentifikasi dening staf GitLab lan mengaruhi versi 12.10 nganti 14.6.5, 14.7 nganti 14.7.4, lan 14.8 nganti 14.8.2. Pangguna sing njaga panginstalan GitLab khusus disaranake nginstal nganyari utawa aplikasi patch kasebut sanalika bisa. Masalah kasebut dirampungake kanthi mbatesi akses menyang perintah Tindakan Cepet mung kanggo pangguna sing duwe ijin nulis. Sawise nginstal nganyari utawa patch "token-prefix" individu, token registrasi ing Runner sing sadurunge digawe kanggo grup lan proyek bakal direset lan digawe maneh.
Saliyane kerentanan kritis, versi anyar uga ngilangi 6 kerentanan sing kurang mbebayani sing bisa nyebabake pangguna sing ora duwe hak nambah pangguna liyane menyang grup, misinformation pangguna liwat manipulasi isi Cuplikan, bocor variabel lingkungan liwat metode pangiriman sendmail, nemtokake ananΓ© pangguna liwat API GraphQL, bocor sandhi nalika kaca repositori liwat SSH ing mode narik, serangan DoS liwat sistem pengajuan komentar.
Source: opennet.ru