GitLab 14.8.2, 14.7.4 жана 14.6.5 биргелешип иштеп чыгуу платформасынын түзөтүүчү жаңыртуулары уруксатсыз колдонуучуга GitLab Runner программасында каттоо белгилерин чыгарууга мүмкүндүк берген олуттуу кемчиликти (CVE-2022-0735) жок кылат, ал иштетүүчүлөрдү чакыруу үчүн колдонулат. үзгүлтүксүз интеграция системасында долбоордун кодун курууда. Чоо-жайы азырынча бериле элек, болгону көйгөй Quick Actions буйруктарын колдонууда маалыматтын агып кетишинен улам келип чыккан.
Маселе GitLab кызматкерлери тарабынан аныкталган жана 12.10дон 14.6.5ке чейин, 14.7ден 14.7.4кө чейин жана 14.8ден 14.8.2ге чейинки версияларга таасирин тийгизет. Ыңгайлаштырылган GitLab орнотууларын тейлеген колдонуучуларга жаңыртууну орнотуу же патчты мүмкүн болушунча тезирээк колдонуу сунушталат. Маселе жазууга уруксаты бар колдонуучуларга Ыкчам аракеттер буйруктарына кирүү мүмкүнчүлүгүн чектөө менен чечилди. Жаңыртууну же жеке “токен-префикс” патчтарын орноткондон кийин, Runner программасында мурда топтор жана долбоорлор үчүн түзүлгөн каттоо белгилери баштапкы абалга келтирилет жана калыбына келтирилет.
Критикалык алсыздыктан тышкары, жаңы версиялар ошондой эле артыкчылыксыз колдонуучунун топторго башка колдонуучуларды кошуусуна, үзүндүлөрдүн мазмунун манипуляциялоо жолу менен колдонуучуларды туура эмес маалыматка, чөйрөнүн өзгөрмөлөрүнүн sendmail жеткирүү ыкмасы аркылуу агып кетишине алып келиши мүмкүн болгон 6 азыраак кооптуу алсыздыктарды жок кылат, GraphQL API аркылуу колдонуучулардын бар экендигин аныктоо, тартуу режиминде SSH аркылуу репозиторийлерди чагылдырууда сырсөздөрдүн агып кетиши, комментарий берүү системасы аркылуу DoS чабуулу.
Source: opennet.ru