일주일 만에 GitLab에서 두 번째 심각한 취약점 발견

GitLab은 협업 개발 플랫폼에 대한 최신 패치 라운드 15.3.2, 15.2.4 및 15.1.6을 출시했습니다. 이 패치는 인증된 사용자가 서버에서 원격으로 코드를 실행할 수 있는 심각한 취약점(CVE-2022-2992)을 해결합니다. 일주일 전에 해결된 CVE-2022-2884 취약점과 마찬가지로, 새로운 문제는 GitHub 서비스에서 데이터를 가져오는 API에 존재합니다. 이 취약점은 GitHub 가져오기 코드의 첫 번째 취약점을 수정한 릴리스 15.3.1, 15.2.3 및 15.1.5에 나타납니다.

아직 운영 세부 사항은 공개되지 않았습니다. 이 취약점은 HackerOne 버그 바운티 프로그램의 일환으로 GitLab에 보고되었지만, 이전 문제와 달리 다른 기여자가 발견했습니다. 해결 방법으로, 관리자가 GitHub에서 가져오기 기능을 비활성화하는 것이 좋습니다(GitLab 웹 인터페이스: "메뉴" -> "관리자" -> "설정" -> "일반" -> "가시성 및 액세스 제어" -> "소스 가져오기" -> "GitHub" 비활성화).

또한, 제안된 업데이트에서는 14개의 취약점을 추가로 수정하는데, 그 중 2022개는 위험으로 표시되고, 2865개는 중간 수준의 위험으로 지정되고, 2022개는 위험하지 않은 것으로 표시됩니다. 다음은 위험한 것으로 간주됩니다. 취약점 CVE-2527-XNUMX는 색상 표시를 조작하여 다른 사용자에게 표시되는 페이지에 자신의 JavaScript 코드를 추가할 수 있게 해줍니다. 취약점 CVE-XNUMX-XNUMX은 사고 타임라인의 설명 필드를 통해 자신의 콘텐츠를 삽입할 수 있게 해줍니다. 중간 심각도의 취약점은 주로 서비스 거부 공격 기능과 관련이 있습니다.

출처 : opennet.ru