Ny fanavaozana fanitsiana amin'ny sehatra fampandrosoana fiaraha-miasa GitLab 14.8.2, 14.7.4 ary 14.6.5 dia manafoana ny vulnerability manan-danja (CVE-2022-0735) izay ahafahan'ny mpampiasa tsy nahazoana alalana haka ny mari-pamantarana fisoratana anarana ao amin'ny GitLab Runner, izay ampiasaina hiantsoana mpitantana. rehefa manangana fehezan-dalàna momba ny tetikasa amin'ny rafitra fampidirana mitohy. Tsy mbola omena ny antsipiriany, fa ny olana dia vokatry ny famotsorana vaovao rehefa mampiasa baiko Quick Actions.
Ny olan'ny mpiasan'ny GitLab dia nofaritana ary misy fiantraikany amin'ny dikan-teny 12.10 hatramin'ny 14.6.5, 14.7 hatramin'ny 14.7.4 ary 14.8 hatramin'ny 14.8.2. Ireo mpampiasa mitazona ny fametrahana GitLab mahazatra dia asaina mametraka ny fanavaozana na mampihatra ny patch haingana araka izay azo atao. Voavaha ny olana tamin'ny famerana ny fidirana amin'ny baiko Quick Actions ho an'ireo mpampiasa nahazo alalana hanoratra. Aorian'ny fametrahana ny fanavaozana na ny patch "token-prefix" tsirairay, dia haverina sy havaozina ny mari-pamantarana fisoratana anarana ao amin'ny Runner izay noforonina taloha ho an'ny vondrona sy tetikasa.
Ho fanampin'ny vulnerability manan-danja, ireo dikan-teny vaovao dia manafoana ihany koa ny vulnerability 6 tsy dia mampidi-doza izay mety hitarika amin'ny mpampiasa tsy manana tombontsoa manampy mpampiasa hafa amin'ny vondrona, fampahalalana diso momba ny mpampiasa amin'ny alàlan'ny fanodikodinana ny votoatin'ny Snippets, leakage ny fiovan'ny tontolo iainana amin'ny alàlan'ny fomba fandefasana sendmail, mamaritra ny fisian'ny mpampiasa amin'ny alàlan'ny GraphQL API, ny fandosiran'ny tenimiafina rehefa mitaratra ny tahiry amin'ny alàlan'ny SSH amin'ny fomba fisarihana, ny fanafihana DoS amin'ny alàlan'ny rafitra fandefasana fanehoan-kevitra.
Source: opennet.ru