GitLab huet déi nächst Serie vu Korrekturaktualiséierunge fir seng Plattform publizéiert fir d'Zesummenaarbecht Entwécklung ze organiséieren - 15.3.2, 15.2.4 an 15.1.6, déi eng kritesch Schwachstelle eliminéieren (CVE-2022-2992) déi en authentifizéierte Benotzer erlaabt de Code op afstand auszeféieren. op de Server. Wéi d'CVE-2022-2884 Schwachstelle, déi virun enger Woch fixéiert gouf, ass en neie Problem an der API präsent fir Daten aus dem GitHub Service z'importéieren. D'Vulnerabilitéit erschéngt och a Verëffentlechungen 15.3.1, 15.2.3 an 15.1.5, déi déi éischt Schwachstelle am Importcode vu GitHub fixéiert hunn.
Operatiounsdetailer sinn nach net geliwwert. Informatioun iwwer d'Schwachheet gouf op GitLab als Deel vum HackerOne's Schwachstelle Bounty Programm presentéiert, awer am Géigesaz zum fréiere Problem gouf et vun engem anere Participant identifizéiert. Als Léisung ass et recommandéiert datt den Administrator d'Importfunktioun vu GitHub auszeschalten (am GitLab Webinterface: "Menu" -> "Admin" -> "Settings" -> "Allgemeng" -> "Visibilitéit an Zougangskontrollen" - > "Import Quellen" -> "GitHub" auszeschalten.
Zousätzlech fixen déi proposéiert Updates 14 méi Schwachstelle, vun deenen zwee als geféierlech markéiert sinn, zéng sinn e mëttlere Geforniveau zougewisen, an zwee sinn als benign markéiert. Déi folgend sinn als geféierlech unerkannt: Schwachstelle CVE-2022-2865, déi Iech erlaabt Ären eegene JavaScript Code op Säiten ze addéieren, déi aner Benotzer duerch Manipulatioun vu Faarfetiketten ugewise ginn, souwéi Schwachstelle CVE-2022-2527, wat et méiglech mécht ersetzen Ären Inhalt duerch d'Beschreiwungsfeld an der Incident Skala Timeline). Moderéiert Schwieregkeete sinn haaptsächlech mat der Méiglechkeet vum Verweigerung vum Service verbonnen.
Source: opennet.ru