ProHoster > ะ‘ะปะพะณ > เบ‚เปˆเบฒเบงโ€‹เบญเบดเบ™โ€‹เป€เบ•เบตโ€‹เป€เบ™เบฑเบ”โ€‹ > เบŠเปˆเบญเบ‡เป‚เบซเบงเปˆเปƒเบ™ GitLab เบ—เบตเปˆเบญเบฐเบ™เบธเบเบฒเบ”เปƒเบซเป‰เบ—เปˆเบฒเบ™เป€เบญเบปเบฒเบšเบฑเบ™เบŠเบตเบ—เบตเปˆเบ–เบทเบเบญเบฐเบ™เบธเบเบฒเบ”เบœเปˆเบฒเบ™ OAuth, LDAP เปเบฅเบฐ SAML

เบŠเปˆเบญเบ‡เป‚เบซเบงเปˆเปƒเบ™ GitLab เบ—เบตเปˆเบญเบฐเบ™เบธเบเบฒเบ”เปƒเบซเป‰เบ—เปˆเบฒเบ™เป€เบญเบปเบฒเบšเบฑเบ™เบŠเบตเบ—เบตเปˆเบ–เบทเบเบญเบฐเบ™เบธเบเบฒเบ”เบœเปˆเบฒเบ™ OAuth, LDAP เปเบฅเบฐ SAML

เบเบฒเบ™เบ›เบฑเบšเบ›เบธเบ‡เปเบเป‰เป„เบ‚เบเบฑเบšเปเบžเบฅเบฐเบ•เบฐเบŸเบญเบกเบเบฒเบ™เบžเบฑเบ”เบ—เบฐเบ™เบฒเบฎเปˆเบงเบกเบกเบท GitLab 14.7.7, 14.8.5 เปเบฅเบฐ 14.9.2 เบเปเบฒเบˆเบฑเบ”เบŠเปˆเบญเบ‡เป‚เบซเบงเปˆเบ—เบตเปˆเบชเปเบฒเบ„เบฑเบ™ (CVE-2022-1162) เบ—เบตเปˆเบเปˆเบฝเบงเบ‚เป‰เบญเบ‡เบเบฑเบšเบเบฒเบ™เบ•เบฑเป‰เบ‡เบฅเบฐเบซเบฑเบ”เบœเปˆเบฒเบ™ hardcoded เบชเปเบฒเบฅเบฑเบšเบšเบฑเบ™เบŠเบตเบ—เบตเปˆเบฅเบปเบ‡เบ—เบฐเบšเบฝเบ™เป‚เบ”เบเปƒเบŠเป‰เบœเบนเป‰เปƒเบซเป‰เบšเปเบฅเบดเบเบฒเบ™ OmniAuth (OAuth), LDAP เปเบฅเบฐ SAML) . เบŠเปˆเบญเบ‡เป‚เบซเบงเปˆเบ”เบฑเปˆเบ‡เบเปˆเบฒเบงเบญเบฒเบ”เป€เบฎเบฑเบ”เปƒเบซเป‰เบœเบนเป‰เป‚เบˆเบกเบ•เบตเบชเบฒเบกเบฒเบ”เป€เบ‚เบปเป‰เบฒเป€เบ–เบดเบ‡เบšเบฑเบ™เบŠเบตเป„เบ”เป‰. เบœเบนเป‰เปƒเบŠเป‰เบ—เบฑเบ‡เบซเบกเบปเบ”เปเบกเปˆเบ™เปเบ™เบฐเบ™เปเบฒเปƒเบซเป‰เบ•เบดเบ”เบ•เบฑเป‰เบ‡เบเบฒเบ™เบ›เบฑเบšเบ›เบธเบ‡เบ—เบฑเบ™เบ—เบต. เบฅเบฒเบเบฅเบฐเบญเบฝเบ”เบ‚เบญเบ‡เบšเบฑเบ™เบซเบฒเบเบฑเบ‡เบšเปเปˆเบ—เบฑเบ™เป„เบ”เป‰เป€เบ›เบตเบ”เป€เบœเบตเบ. เบœเบนเป‰โ€‹เปƒเบŠเป‰โ€‹เบ—เบตเปˆโ€‹เบšเบฑเบ™โ€‹เบŠเบตโ€‹เป„เบ”เป‰โ€‹เบฎเบฑเบšโ€‹เบœเบปเบ™โ€‹เบเบฐโ€‹เบ—เบปเบšโ€‹เบˆเบฒเบโ€‹เบšเบฑเบ™โ€‹เบซเบฒโ€‹เป„เบ”เป‰โ€‹เบฎเบฑเบšโ€‹เบเบฒเบ™โ€‹เบเบฐโ€‹เบ•เบธเป‰เบ™โ€‹เปƒเบซเป‰โ€‹เบ•เบฑเป‰เบ‡โ€‹เบฅเบฐโ€‹เบซเบฑเบ”โ€‹เบœเปˆเบฒเบ™โ€‹เบ‚เบญเบ‡โ€‹เป€เบ‚เบปเบฒโ€‹เป€เบˆเบปเป‰เบฒโ€‹เปƒเบซเบกเปˆโ€‹. เบšเบฑเบ™เบซเบฒเบ”เบฑเปˆเบ‡เบเปˆเบฒเบงเป„เบ”เป‰เบ–เบทเบเบเปเบฒเบ™เบปเบ”เป‚เบ”เบเบžเบฐเบ™เบฑเบเบ‡เบฒเบ™ GitLab เปเบฅเบฐเบเบฒเบ™เบชเบทเบšเบชเบงเบ™เบšเปเปˆเป„เบ”เป‰เป€เบ›เบตเบ”เป€เบœเบตเบเบฎเปˆเบญเบ‡เบฎเบญเบเปƒเบ”เป†เบ‚เบญเบ‡เบเบฒเบ™เบ›เบฐเบ™เบตเบ›เบฐเบ™เบญเบกเบ‚เบญเบ‡เบœเบนเป‰เปƒเบŠเป‰.

เบชเบฐเบšเบฑเบšเปƒเปเปˆเบเบฑเบ‡เป„เบ”เป‰เบเบณเบˆเบฑเบ”เบŠเปˆเบญเบ‡เป‚เบซเบงเปˆเบ•เบทเปˆเบกเบญเบตเบ 16 เบญเบฑเบ™, เปƒเบ™เบ™เบฑเป‰เบ™ 2 เบญเบฑเบ™เบ–เบทเบเปเบฒเบเบงเปˆเบฒเป€เบ›เบฑเบ™เบญเบฑเบ™เบ•เบฐเบฅเบฒเบ, 9 เบญเบฑเบ™เปเบกเปˆเบ™เบ›เบฒเบ™เบเบฒเบ‡ เปเบฅเบฐ 5 เบญเบฑเบ™เบšเปเปˆเป€เบ›เบฑเบ™เบญเบฑเบ™เบ•เบฐเบฅเบฒเบ. เบšเบฑเบ™เบซเบฒเบญเบฑเบ™เบ•เบฐเบฅเบฒเบเบฅเบงเบกเบกเบตเบ„เบงเบฒเบกเป€เบ›เบฑเบ™เป„เบ›เป„เบ”เป‰เบ‚เบญเบ‡เบเบฒเบ™เบชเบตเบ” HTML (XSS) เปƒเบ™เบ„เปเบฒเป€เบซเบฑเบ™ (CVE-2022-1175) เปเบฅเบฐเบ„เปเบฒเบ„เบดเบ”เบ„เปเบฒเป€เบซเบฑเบ™ / เบ„เปเบฒเบญเบฐเบ—เบดเบšเบฒเบเปƒเบ™เบšเบฑเบ™เบซเบฒ (CVE-2022-1190).

เปเบซเบผเปˆเบ‡เบ‚เปเป‰เบกเบนเบ™: opennet.ru

เป€เบžเบตเปˆเบกเบ„เบงเบฒเบกเบ„เบดเบ”เป€เบซเบฑเบ™