Kua whakaputaina nga whakahou whakatika ki te papa mo te whakarite whanaketanga mahi tahi - GitLab 16.7.2, 16.6.4 me 16.5.6, e whakatika ana i nga whakaraeraetanga e rua. Ko te whakaraeraetanga tuatahi (CVE-2023-7028), kua tohua te taumata tino taumaha (10 i roto i te 10), ka taea e koe te hopu i te kaute a tetahi atu ma te raweke i te puka whakaora kupuhipa kua warewarehia. Ko te whakaraeraetanga ka puta mai i te tuku imeera me te waehere tautuhi kupuhipa ki nga wahitau imeera kore manatoko. Kua puta mai te raruraru mai i te tukunga o GitLab 16.1.0, i whakauru mai i te kaha ki te tuku i te waehere whakaora kupuhipa ki tetahi wahitau imeera taapiri kore i whakamanahia.
Hei tirotiro i nga meka o te whakararu i nga punaha, ka whakaarohia kia arotakehia i roto i te gitlab-rails/production_json.log takiuru te aroaro o nga tono HTTP ki te /kaiwhakamahi/whakamahi kupuhipa e tohu ana i te maha o nga imeera i roto i te "params.value.email ” tawhā. Ko te whakaaro ano kia tirohia nga whakaurunga kei roto i te gitlab-rails/audit_json.log rangitaki me te uara PasswordsController#create in meta.caller.id me te tohu i te huinga o nga wahitau maha kei te poraka target_details. Kaore e taea te whakaoti i te whakaeke mena ka taea e te kaiwhakamahi te whakamotuhēhēnga-rua.
Ko te whakaraerae tuarua, CVE-2023-5356, kei roto i te waehere mo te whakauru ki nga ratonga Slack me Mattermost, a ka taea e koe te whakahaere i nga /-whakahau i raro i tetahi atu kaiwhakamahi na te kore o te tirotiro tika. Ka whakatauhia te take ki te taumata taumaha o te 9.6 mai i te 10. Ko nga putanga hou ka whakakore i te whakaraeraetanga iti ake (7.6 o te 10) (CVE-2023-4812), e taea ai e koe te karo i te whakaaetanga CODEOWNERS ma te taapiri i nga huringa ki tetahi kua whakaaetia i mua. tono hanumi.
Ko nga korero taipitopito e pa ana ki nga whakaraeraetanga kua tohua kua whakamaheretia kia 30 ra i muri i te whakaputanga o te whakatika. I tukuna nga whakaraeraetanga ki a GitLab hei waahanga o te kaupapa whakaraeraetanga a HackerOne.
Source: opennet.ru