일주일 만에 GitLab의 두 번째 심각한 취약점

GitLab은 공동 개발을 구성하기 위한 플랫폼에 대한 다음 일련의 수정 업데이트인 15.3.2, 15.2.4 및 15.1.6을 발표했습니다. 이 업데이트는 인증된 사용자가 원격으로 코드를 실행할 수 있게 하는 심각한 취약점(CVE-2022-2992)을 제거합니다. 서버에서. 일주일 전에 수정된 CVE-2022-2884 취약점과 마찬가지로 GitHub 서비스에서 데이터를 가져오기 위한 API에 새로운 문제가 있습니다. 이 취약점은 GitHub의 가져오기 코드에서 첫 번째 취약점을 수정한 릴리스 15.3.1, 15.2.3 및 15.1.5에도 나타납니다.

운영 세부 사항은 아직 제공되지 않았습니다. 해당 취약점에 대한 정보는 HackerOne의 취약점 포상금 프로그램의 일환으로 GitLab에 제출되었으나, 이전 문제와 달리 다른 참여자에 의해 식별되었습니다. 해결 방법으로 관리자가 GitHub에서 가져오기 기능을 비활성화하는 것이 좋습니다(GitLab 웹 인터페이스에서: "메뉴" -> "관리" -> "설정" -> "일반" -> "가시성 및 액세스 제어" - > "소스 가져오기" -> "GitHub" 비활성화).

또한 제안된 업데이트는 14개 이상의 취약점을 수정하며, 그 중 2022개는 위험으로 표시되고, 2865개는 중간 위험 수준으로 지정되고, 2022개는 양성으로 표시됩니다. 다음은 위험한 것으로 인식됩니다: 색상 레이블 조작을 통해 다른 사용자에게 표시되는 페이지에 자신의 JavaScript 코드를 추가할 수 있는 취약점 CVE-2527-XNUMX와 다음과 같은 작업이 가능한 취약점 CVE-XNUMX-XNUMX 사건 규모 타임라인의 설명 필드를 통해 콘텐츠를 대체하세요. 심각도가 보통인 취약점은 주로 서비스 거부 가능성과 관련이 있습니다.

출처 : opennet.ru