Kritiska ievainojamība pakalpojumā GitLab

GitLab 15.3.1, 15.2.3 un 15.1.5 ielāpi sadarbības izstrādes platformai novērš kritisku ievainojamību (CVE-2022-2884), kas varētu ļaut autentificētam lietotājam ar piekļuvi GitHub datu importēšanas API attālināti izpildīt kodu serverī. Sīkāka informācija par ievainojamību pagaidām nav pieejama. Ievainojamību atklāja drošības pētnieks, izmantojot HackerOne ievainojamību atlīdzības programmu.

Kā risinājumu ieteicams administratoram atspējot importēšanas funkciju no GitHub (GitLab tīmekļa saskarnē: “Izvēlne” -> “Administrators” -> “Iestatījumi” -> “Vispārīgi” -> “Redzamības un piekļuves vadīklas” -> “Importēt avotus” -> atspējot “GitHub”).

Avots: opennet.ru