Nûvekirinên rastkirî yên platforma pêşkeftina hevkar GitLab 14.8.2, 14.7.4 û 14.6.5 qelsiyek krîtîk (CVE-2022-0735) ji holê radike ku destûrê dide bikarhênerek nedestûr ku tokenên qeydkirinê di GitLab Runner de derxe, ku ji bo gazîkirina rêvebiran tê bikar anîn. dema ku koda projeyê di pergalek yekbûna domdar de ava dike. Hîn hûrgulî nehatine peyda kirin, tenê ew pirsgirêk ji ber lehiya agahdarî di dema karanîna fermanên Çalakiyên Bilez de çêdibe.
Pirsgirêk ji hêla xebatkarên GitLab ve hate nas kirin û guhertoyên 12.10 heta 14.6.5, 14.7 heta 14.7.4, û 14.8 heta 14.8.2 bandor dike. Bikarhênerên ku sazkirinên GitLab-ê yên xwerû diparêzin têne şîret kirin ku di zûtirîn dem de nûvekirinê saz bikin an patchê bicîh bikin. Pirsgirêk bi sînorkirina gihandina fermanên Tevgerên Bilez tenê ji bikarhênerên ku destûra nivîsandinê re heye hate çareser kirin. Piştî sazkirina nûvekirin an pêlên "token-prefix" yên ferdî, nîşaneyên qeydkirinê yên li Runner-ê ku berê ji bo kom û projeyan hatine çêkirin dê werin nûve kirin û nûve kirin.
Ji xeynî lawazbûna krîtîk, guhertoyên nû 6 qelsiyên kêmtir xeternak jî ji holê radikin ku dikarin bibin sedema ku bikarhênerek bêdestûr bikarhênerên din li koman zêde bike, agahdariya çewt a bikarhêneran bi manîpulekirina naveroka Snippets, rijandina guhêrbarên hawîrdorê bi riya rêbaza radestkirina sendmail, destnîşankirina hebûna bikarhêneran bi navgîniya GraphQL API, rijandina şîfreyan dema ku depoyan bi riya SSH-ê di moda kişandinê de neynikê dike, êrîşa DoS bi pergala radestkirina şîroveyê.
Source: opennet.ru