Korekciniai bendradarbiavimo kūrimo platformos GitLab 14.8.2, 14.7.4 ir 14.6.5 atnaujinimai pašalina kritinį pažeidžiamumą (CVE-2022-0735), leidžiantį neteisėtam vartotojui išgauti registracijos prieigos raktus GitLab Runner, kuris naudojamas tvarkytojams skambinti. statant projekto kodą nuolatinės integracijos sistemoje. Išsamios informacijos kol kas nepateikiama, tik tai, kad problemą sukelia informacijos nutekėjimas naudojant greitųjų veiksmų komandas.
Problemą nustatė „GitLab“ darbuotojai ir ji turi įtakos 12.10–14.6.5, 14.7–14.7.4 ir 14.8–14.8.2 versijoms. Naudotojams, prižiūrintiems tinkintus „GitLab“ įrenginius, patariama kuo greičiau įdiegti naujinimą arba pritaikyti pataisą. Problema buvo išspręsta apribojus prieigą prie greitųjų veiksmų komandų tik vartotojams, turintiems rašymo teisę. Įdiegus naujinimą arba atskirus „žetono priešdėlio“ pataisas, „Runner“ registracijos prieigos raktai, anksčiau sukurti grupėms ir projektams, bus nustatyti iš naujo ir atkurti.
Be kritinio pažeidžiamumo, naujosios versijos taip pat pašalina 6 mažiau pavojingus pažeidžiamumus, dėl kurių neprivilegijuotas vartotojas gali įtraukti kitus vartotojus į grupes, klaidingai informuoti vartotojus manipuliuojant fragmentų turiniu, aplinkos kintamųjų nutekėjimas naudojant sendmail pristatymo metodą, vartotojų buvimo nustatymas per GraphQL API, slaptažodžių nutekėjimas atspindint saugyklas per SSH traukos režimu, DoS ataka per komentarų pateikimo sistemą.
Šaltinis: opennet.ru
