Navoaka ny fanavaozana fanitsiana ny sehatra hikarakarana ny fampandrosoana fiaraha-miasa - GitLab 16.7.2, 16.6.4 ary 16.5.6, izay mamaha ireo vulnerabilities roa. Ny vulnerability voalohany (CVE-2023-7028), izay nomena ny haavon'ny fahasarotana farany indrindra (10 amin'ny 10), dia ahafahanao maka ny kaontin'olon-kafa amin'ny alΓ lan'ny fanodikodinana ny endrika fanarenana ny tenimiafina hadino. Ny vulnerability dia vokatry ny fahafahana mandefa mailaka miaraka amin'ny kaody famerenana ny tenimiafina amin'ny adiresy mailaka tsy voamarina. Nipoitra ny olana nanomboka tamin'ny famoahana ny GitLab 16.1.0, izay nampiditra ny fahafahana mandefa kaody fanarenana ny tenimiafina amin'ny adiresy mailaka backup tsy voamarina.
Mba hijerena ny zava-misy amin'ny marimaritra iraisana amin'ny rafitra, dia soso-kevitra ny hanombantombana ao amin'ny gitlab-rails/production_json.log log ny fisian'ny fangatahana HTTP amin'ny /users/password handler izay manondro andiana mailaka maromaro ao amin'ny "params.value.email β parameter. Soso-kevitra ihany koa ny hanamarina ny fidirana ao amin'ny log gitlab-rails/audit_json.log miaraka amin'ny sanda PasswordsController#create ao amin'ny meta.caller.id ary manondro adiresy maromaro ao amin'ny sakana target_details. Tsy ho vita ny fanafihana raha toa ka manome authentication roa sosona ny mpampiasa.
Ny vulnerability faharoa, CVE-2023-5356, dia hita ao amin'ny kaody ho an'ny fidirana amin'ny serivisy Slack sy Mattermost, ary ahafahanao manatanteraka /-baiko eo ambanin'ny mpampiasa hafa noho ny tsy fisian'ny fanamarinana ara-dalΓ na. Ny olana dia nomena ny haavon'ny hamafin'ny 9.6 amin'ny 10. Ny dikan-teny vaovao dia manafoana ny tsy dia mampidi-doza kokoa (7.6 amin'ny 10) vulnerability (CVE-2023-4812), izay ahafahanao mandingana ny fankatoavan'ny CODEOWNERS amin'ny fampidirana fanovana amin'ny fanekena efa nekena teo aloha. merge fangatahana.
Ny fampahalalana amin'ny antsipiriany momba ireo vulnerability fantatra dia kasaina hambara 30 andro aorian'ny famoahana ny fanamboarana. Nalefa tao amin'ny GitLab ireo vulnerabilities ho ampahany amin'ny programa bounty vulnerability an'ny HackerOne.
Source: opennet.ru