GitLab 14.8.2, 14.7.4 ಮತ್ತು 14.6.5 ಸಹಯೋಗದ ಅಭಿವೃದ್ಧಿ ಪ್ಲಾಟ್ಫಾರ್ಮ್ಗೆ ಸರಿಪಡಿಸುವ ಅಪ್ಡೇಟ್ಗಳು ನಿರ್ಣಾಯಕ ದುರ್ಬಲತೆಯನ್ನು (CVE-2022-0735) ನಿವಾರಿಸುತ್ತದೆ, ಇದು ಅನಧಿಕೃತ ಬಳಕೆದಾರರಿಗೆ GitLab ರನ್ನರ್ನಲ್ಲಿ ನೋಂದಣಿ ಟೋಕನ್ಗಳನ್ನು ಹೊರತೆಗೆಯಲು ಅನುಮತಿಸುತ್ತದೆ, ಇದನ್ನು ಹ್ಯಾಂಡ್ಲರ್ಗಳಿಗೆ ಕರೆ ಮಾಡಲು ಬಳಸಲಾಗುತ್ತದೆ. ನಿರಂತರ ಏಕೀಕರಣ ವ್ಯವಸ್ಥೆಯಲ್ಲಿ ಯೋಜನೆಯ ಕೋಡ್ ಅನ್ನು ನಿರ್ಮಿಸುವಾಗ. ವಿವರಗಳನ್ನು ಇನ್ನೂ ಒದಗಿಸಲಾಗಿಲ್ಲ, ತ್ವರಿತ ಕ್ರಿಯೆಗಳ ಆಜ್ಞೆಗಳನ್ನು ಬಳಸುವಾಗ ಮಾಹಿತಿ ಸೋರಿಕೆಯಿಂದ ಸಮಸ್ಯೆ ಉಂಟಾಗುತ್ತದೆ.
ಸಮಸ್ಯೆಯನ್ನು GitLab ಸಿಬ್ಬಂದಿ ಗುರುತಿಸಿದ್ದಾರೆ ಮತ್ತು 12.10 ರಿಂದ 14.6.5, 14.7 ರಿಂದ 14.7.4, ಮತ್ತು 14.8 ರಿಂದ 14.8.2 ಆವೃತ್ತಿಗಳ ಮೇಲೆ ಪರಿಣಾಮ ಬೀರುತ್ತದೆ. ಕಸ್ಟಮ್ GitLab ಸ್ಥಾಪನೆಗಳನ್ನು ನಿರ್ವಹಿಸುವ ಬಳಕೆದಾರರು ನವೀಕರಣವನ್ನು ಸ್ಥಾಪಿಸಲು ಅಥವಾ ಸಾಧ್ಯವಾದಷ್ಟು ಬೇಗ ಪ್ಯಾಚ್ ಅನ್ನು ಅನ್ವಯಿಸಲು ಸಲಹೆ ನೀಡುತ್ತಾರೆ. ಬರವಣಿಗೆ ಅನುಮತಿ ಹೊಂದಿರುವ ಬಳಕೆದಾರರಿಗೆ ಮಾತ್ರ ತ್ವರಿತ ಕ್ರಿಯೆಗಳ ಆಜ್ಞೆಗಳಿಗೆ ಪ್ರವೇಶವನ್ನು ನಿರ್ಬಂಧಿಸುವ ಮೂಲಕ ಸಮಸ್ಯೆಯನ್ನು ಪರಿಹರಿಸಲಾಗಿದೆ. ಅಪ್ಡೇಟ್ ಅಥವಾ ವೈಯಕ್ತಿಕ “ಟೋಕನ್-ಪ್ರಿಫಿಕ್ಸ್” ಪ್ಯಾಚ್ಗಳನ್ನು ಸ್ಥಾಪಿಸಿದ ನಂತರ, ಗುಂಪುಗಳು ಮತ್ತು ಯೋಜನೆಗಳಿಗಾಗಿ ಹಿಂದೆ ರಚಿಸಲಾದ ರನ್ನರ್ನಲ್ಲಿ ನೋಂದಣಿ ಟೋಕನ್ಗಳನ್ನು ಮರುಹೊಂದಿಸಲಾಗುತ್ತದೆ ಮತ್ತು ಮರುಸೃಷ್ಟಿಸಲಾಗುತ್ತದೆ.
ನಿರ್ಣಾಯಕ ದುರ್ಬಲತೆಯ ಜೊತೆಗೆ, ಹೊಸ ಆವೃತ್ತಿಗಳು 6 ಕಡಿಮೆ ಅಪಾಯಕಾರಿ ದೋಷಗಳನ್ನು ನಿವಾರಿಸುತ್ತದೆ, ಇದು ಸವಲತ್ತು ಇಲ್ಲದ ಬಳಕೆದಾರರು ಇತರ ಬಳಕೆದಾರರನ್ನು ಗುಂಪುಗಳಿಗೆ ಸೇರಿಸಲು ಕಾರಣವಾಗಬಹುದು, ತುಣುಕುಗಳ ವಿಷಯಗಳ ಕುಶಲತೆಯ ಮೂಲಕ ಬಳಕೆದಾರರ ತಪ್ಪು ಮಾಹಿತಿ, ಸೆಂಡ್ಮೇಲ್ ವಿತರಣಾ ವಿಧಾನದ ಮೂಲಕ ಪರಿಸರ ವೇರಿಯಬಲ್ಗಳ ಸೋರಿಕೆ, GraphQL API ಮೂಲಕ ಬಳಕೆದಾರರ ಉಪಸ್ಥಿತಿಯನ್ನು ನಿರ್ಧರಿಸುವುದು, ಪುಲ್ ಮೋಡ್ನಲ್ಲಿ SSH ಮೂಲಕ ರೆಪೊಸಿಟರಿಗಳನ್ನು ಪ್ರತಿಬಿಂಬಿಸುವಾಗ ಪಾಸ್ವರ್ಡ್ಗಳ ಸೋರಿಕೆ, ಕಾಮೆಂಟ್ ಸಲ್ಲಿಕೆ ವ್ಯವಸ್ಥೆಯ ಮೂಲಕ DoS ದಾಳಿ.
ಮೂಲ: opennet.ru
