GitLab 14.8.2, 14.7.4 және 14.6.5 бірлескен әзірлеу платформасына түзетуші жаңартулар рұқсат етілмеген пайдаланушыға өңдеушілерді шақыру үшін пайдаланылатын GitLab Runner бағдарламасында тіркеу таңбалауыштарын шығаруға мүмкіндік беретін маңызды осалдықты (CVE-2022-0735) жояды. үздіксіз интеграция жүйесінде жоба кодын құру кезінде. Мәліметтер әлі берілген жоқ, тек мәселе Жылдам әрекеттер пәрмендерін пайдалану кезінде ақпараттың ағып кетуінен туындайды.
Мәселені GitLab қызметкерлері анықтады және 12.10 - 14.6.5, 14.7 - 14.7.4 және 14.8 - 14.8.2 нұсқаларына әсер етеді. Арнайы GitLab қондырғыларын қолдайтын пайдаланушыларға жаңартуды орнату немесе патчты мүмкіндігінше тезірек қолдану ұсынылады. Мәселе тек жазу рұқсаты бар пайдаланушыларға Жылдам әрекеттер пәрмендеріне қатынасты шектеу арқылы шешілді. Жаңартуды немесе жеке «токен-префикс» патчтарын орнатқаннан кейін топтар мен жобалар үшін бұрын жасалған Runner бағдарламасындағы тіркеу таңбалауыштары қалпына келтіріліп, қайта жасалады.
Критикалық осалдықпен қатар, жаңа нұсқалар артықшылығы жоқ пайдаланушының топтарға басқа пайдаланушыларды қосуына, үзінділер мазмұнын манипуляциялау арқылы пайдаланушыларды жалған ақпараттандыруға, sendmail жеткізу әдісі арқылы қоршаған орта айнымалыларының ағып кетуіне әкелуі мүмкін қауіпті емес 6 осалдықты жояды, GraphQL API арқылы пайдаланушылардың болуын анықтау, тарту режимінде SSH арқылы репозиторийлерді көшіру кезінде құпия сөздердің ағып кетуі, түсініктеме беру жүйесі арқылы DoS шабуылы.
Ақпарат көзі: opennet.ru