Биргелешип иштеп чыгууну уюштуруу платформасына оңдоочу жаңыртуулар жарыяланды - GitLab 16.7.2, 16.6.4 жана 16.5.6, алар эки маанилүү кемчиликти оңдойт. Биринчи аялуу (CVE-2023-7028), ага максималдуу катаалдык деңгээли (10дон 10) ыйгарылган, унутулган сырсөздү калыбына келтирүү формасын манипуляциялоо аркылуу башка бирөөнүн аккаунтун басып алууга мүмкүндүк берет. Алсыздык текшерилбеген электрондук почта даректерине сырсөздү калыбына келтирүү коду менен электрондук кат жөнөтүү мүмкүнчүлүгү менен шартталган. Көйгөй GitLab 16.1.0 чыккандан бери пайда болду, ал сырсөздү калыбына келтирүү кодун текшерилбеген резервдик электрондук почта дарегине жөнөтүү мүмкүнчүлүгүн киргизди.
Системанын компромисстик фактыларын текшерүү үчүн gitlab-rails/production_json.log журналында "params.value.email" дарегинде бир нече электрондук каттардын массивдерин көрсөткөн /users/password иштетүүчүгө HTTP сурамдарынын болушун баалоо сунушталат. ” параметри. Ошондой эле gitlab-rails/audit_json.log журналындагы жазууларды meta.caller.id ичинде PasswordsController#create мааниси менен текшерүү жана target_details блогунда бир нече даректер массивдерин көрсөтүү сунушталат. Колдонуучу эки факторлуу аутентификацияны иштетсе, чабуулду аягына чыгаруу мүмкүн эмес.
Экинчи аялуу, CVE-2023-5356, Slack жана Mattermost кызматтары менен интеграциялоо кодунда бар жана авторизацияны туура текшерүүнүн жоктугунан башка колдонуучу астында /-буйруктарын аткарууга мүмкүндүк берет. Маселеге 9.6дон 10 оордук деңгээли ыйгарылган. Жаңы версиялар дагы анча кооптуу эмес (7.6дон 10) кемчиликти (CVE-2023-4812) жок кылат, бул мурда бекитилгенге өзгөртүүлөрдү кошуу менен CODEOWNERS уруксатын кыйгап өтүүгө мүмкүндүк берет бириктирүү өтүнүчү.
Белгиленген алсыздыктар тууралуу толук маалыматты оңдоо жарыялангандан кийин 30 күндөн кийин ачыкка чыгаруу пландаштырылууда. Алсыздыктар GitLab'ка HackerOne'дун аялуу жерлерди сыйлоо программасынын бир бөлүгү катары берилген.
Source: opennet.ru