GitLab биргелешип иштеп чыгууну уюштуруу үчүн платформасына түзөтүүчү жаңыртуулардын кезектеги сериясын жарыялады - 15.3.2, 15.2.4 жана 15.1.6, алар аутентификацияланган колдонуучуга кодду алыстан аткарууга мүмкүндүк берген критикалык аялуулукту (CVE-2022-2992) жок кылат серверде. Бир жума мурун оңдолгон CVE-2022-2884 аялуулугу сыяктуу эле, APIде GitHub кызматынан маалыматтарды импорттоо үчүн жаңы көйгөй бар. Алсыздык 15.3.1, 15.2.3 жана 15.1.5 релизлеринде да пайда болот, алар GitHub импорттук кодундагы биринчи кемчиликти оңдогон.
Операциялык маалымат азырынча бериле элек. Алсыздык жөнүндө маалымат GitLab'ка HackerOne'дун аялууларды сыйлоо программасынын бир бөлүгү катары берилген, бирок мурунку көйгөйдөн айырмаланып, ал башка катышуучу тарабынан аныкталган. Чечим катары, администраторго GitHub'дан импорттоо функциясын өчүрүү сунушталат (GitLab веб-интерфейсинде: “Меню” -> “Админ” -> “Орнотуулар” -> “Жалпы” -> “Көрүнүү жана кирүү башкаруулары” - > "Импорттук булактар" -> "GitHub" өчүрүү).
Кошумчалай кетсек, сунушталган жаңыртуулар дагы 14 кемчиликти оңдоп, алардын экөөсү кооптуу, ону кооптуулуктун орточо деңгээлине ыйгарылган жана экөөсү зыянсыз деп белгиленген. Төмөнкүлөр кооптуу деп таанылат: CVE-2022-2865 аялуулугу, түстүү энбелгилерди манипуляциялоо аркылуу башка колдонуучуларга көрсөтүлгөн баракчаларга өзүңүздүн JavaScript кодуңузду кошууга мүмкүндүк берет, ошондой эле CVE-2022-2527 аялуулугу, бул Окуялар шкаласынын Убакыт тилкесиндеги сүрөттөмө талаасы аркылуу мазмунуңузду алмаштырыңыз). Орточо оордуктагы аялуу, биринчи кезекте, кызмат көрсөтүүдөн баш тартуу мүмкүнчүлүгү менен байланышкан.
Source: opennet.ru
