GitLab 14.7.7, 14.8.5 жана 14.9.2 биргелешип иштеп чыгуу платформасынын түзөтүүчү жаңыртуулары OmniAuth (OAuth) провайдери, LDAP жана LDAP аркылуу катталган каттоо эсептери үчүн катуу коддолгон сырсөздөрдү орнотууга байланышкан олуттуу кемчиликти (CVE-2022-1162) жок кылат. . Алсыздык чабуулчуга аккаунтка кирүү мүмкүнчүлүгүн берет. Бардык колдонуучуларга жаңыртууну дароо орнотуу сунушталат. Көйгөйдүн чоо-жайы азырынча айтыла элек. Аккаунттары көйгөйгө кабылган колдонуучуларга сырсөздөрүн баштапкы абалга келтирүү сунушталды. Көйгөй GitLab кызматкерлери тарабынан аныкталган жана тергөө колдонуучу компромисстин эч кандай изин тапкан эмес.
Жаңы версиялар дагы 16 кемчиликти жок кылат, анын ичинен 2 коркунучтуу, 9у орточо жана 5 кооптуу эмес деп белгиленген. Кооптуу маселелерге комментарийлерде (CVE-2022-1175) жана чыгарылыштагы комментарийлерде/сүрөттөрдө (CVE-2022-1190) HTML инъекциясы (XSS) мүмкүнчүлүгү кирет.
Source: opennet.ru