GitLab์ ๊ณต๋ ๊ฐ๋ฐ์ ๊ตฌ์ฑํ๊ธฐ ์ํ ํ๋ซํผ์ ๋ํ ๋ค์ ์ผ๋ จ์ ์์ ์ ๋ฐ์ดํธ์ธ 15.3.2, 15.2.4 ๋ฐ 15.1.6์ ๋ฐํํ์ต๋๋ค. ์ด ์ ๋ฐ์ดํธ๋ ์ธ์ฆ๋ ์ฌ์ฉ์๊ฐ ์๊ฒฉ์ผ๋ก ์ฝ๋๋ฅผ ์คํํ ์ ์๊ฒ ํ๋ ์ฌ๊ฐํ ์ทจ์ฝ์ (CVE-2022-2992)์ ์ ๊ฑฐํฉ๋๋ค. ์๋ฒ์์. ์ผ์ฃผ์ผ ์ ์ ์์ ๋ CVE-2022-2884 ์ทจ์ฝ์ ๊ณผ ๋ง์ฐฌ๊ฐ์ง๋ก GitHub ์๋น์ค์์ ๋ฐ์ดํฐ๋ฅผ ๊ฐ์ ธ์ค๊ธฐ ์ํ API์ ์๋ก์ด ๋ฌธ์ ๊ฐ ์์ต๋๋ค. ์ด ์ทจ์ฝ์ ์ GitHub์ ๊ฐ์ ธ์ค๊ธฐ ์ฝ๋์์ ์ฒซ ๋ฒ์งธ ์ทจ์ฝ์ ์ ์์ ํ ๋ฆด๋ฆฌ์ค 15.3.1, 15.2.3 ๋ฐ 15.1.5์๋ ๋ํ๋ฉ๋๋ค.
์ด์ ์ธ๋ถ ์ฌํญ์ ์์ง ์ ๊ณต๋์ง ์์์ต๋๋ค. ํด๋น ์ทจ์ฝ์ ์ ๋ํ ์ ๋ณด๋ HackerOne์ ์ทจ์ฝ์ ํฌ์๊ธ ํ๋ก๊ทธ๋จ์ ์ผํ์ผ๋ก GitLab์ ์ ์ถ๋์์ผ๋, ์ด์ ๋ฌธ์ ์ ๋ฌ๋ฆฌ ๋ค๋ฅธ ์ฐธ์ฌ์์ ์ํด ์๋ณ๋์์ต๋๋ค. ํด๊ฒฐ ๋ฐฉ๋ฒ์ผ๋ก ๊ด๋ฆฌ์๊ฐ GitHub์์ ๊ฐ์ ธ์ค๊ธฐ ๊ธฐ๋ฅ์ ๋นํ์ฑํํ๋ ๊ฒ์ด ์ข์ต๋๋ค(GitLab ์น ์ธํฐํ์ด์ค์์: "๋ฉ๋ด" -> "๊ด๋ฆฌ" -> "์ค์ " -> "์ผ๋ฐ" -> "๊ฐ์์ฑ ๋ฐ ์ก์ธ์ค ์ ์ด" - > "์์ค ๊ฐ์ ธ์ค๊ธฐ" -> "GitHub" ๋นํ์ฑํ).
๋ํ ์ ์๋ ์
๋ฐ์ดํธ๋ 14๊ฐ ์ด์์ ์ทจ์ฝ์ ์ ์์ ํ๋ฉฐ, ๊ทธ ์ค 2022๊ฐ๋ ์ํ์ผ๋ก ํ์๋๊ณ , 2865๊ฐ๋ ์ค๊ฐ ์ํ ์์ค์ผ๋ก ์ง์ ๋๊ณ , 2022๊ฐ๋ ์์ฑ์ผ๋ก ํ์๋ฉ๋๋ค. ๋ค์์ ์ํํ ๊ฒ์ผ๋ก ์ธ์๋ฉ๋๋ค: ์์ ๋ ์ด๋ธ ์กฐ์์ ํตํด ๋ค๋ฅธ ์ฌ์ฉ์์๊ฒ ํ์๋๋ ํ์ด์ง์ ์์ ์ JavaScript ์ฝ๋๋ฅผ ์ถ๊ฐํ ์ ์๋ ์ทจ์ฝ์ CVE-2527-XNUMX์ ๋ค์๊ณผ ๊ฐ์ ์์
์ด ๊ฐ๋ฅํ ์ทจ์ฝ์ CVE-XNUMX-XNUMX ์ฌ๊ฑด ๊ท๋ชจ ํ์๋ผ์ธ์ ์ค๋ช
ํ๋๋ฅผ ํตํด ์ฝํ
์ธ ๋ฅผ ๋์ฒดํ์ธ์. ์ฌ๊ฐ๋๊ฐ ๋ณดํต์ธ ์ทจ์ฝ์ ์ ์ฃผ๋ก ์๋น์ค ๊ฑฐ๋ถ ๊ฐ๋ฅ์ฑ๊ณผ ๊ด๋ จ์ด ์์ต๋๋ค.
์ถ์ฒ : opennet.ru