ΠΠ±ΡΠ°Π²Π΅Π½ΠΈ ΡΠ΅ ΠΊΠΎΡΠ΅ΠΊΡΠΈΠ²Π½ΠΈ Π°ΠΆΡΡΠΈΡΠ°ΡΠ° Π½Π° ΠΏΠ»Π°ΡΡΠΎΡΠΌΠ°ΡΠ° Π·Π° ΠΎΡΠ³Π°Π½ΠΈΠ·ΠΈΡΠ°ΡΠ΅ Π½Π° ΠΊΠΎΠ»Π°Π±ΠΎΡΠ°ΡΠΈΠ²Π΅Π½ ΡΠ°Π·Π²ΠΎΡ - GitLab 16.7.2, 16.6.4 ΠΈ 16.5.6, ΠΊΠΎΠΈ ΠΏΠΎΠΏΡΠ°Π²Π°Π°Ρ Π΄Π²Π΅ ΠΊΡΠΈΡΠΈΡΠ½ΠΈ ΠΏΡΠΎΠΏΡΡΡΠΈ. ΠΡΠ²Π°ΡΠ° ΡΠ°Π½Π»ΠΈΠ²ΠΎΡΡ (CVE-2023-7028), Π½Π° ΠΊΠΎΡΠ° ΠΈ Π΅ Π΄ΠΎΠ΄Π΅Π»Π΅Π½ΠΎ ΠΌΠ°ΠΊΡΠΈΠΌΠ°Π»Π½ΠΎΡΠΎ Π½ΠΈΠ²ΠΎ Π½Π° ΡΠ΅ΡΠΈΠΎΠ·Π½ΠΎΡΡ (10 ΠΎΠ΄ 10), Π²ΠΈ ΠΎΠ²ΠΎΠ·ΠΌΠΎΠΆΡΠ²Π° Π΄Π° Π·Π°ΠΏΠ»Π΅Π½ΠΈΡΠ΅ ΡΡΡΠ° ΡΠΌΠ΅ΡΠΊΠ° ΠΏΡΠ΅ΠΊΡ ΠΌΠ°Π½ΠΈΠΏΡΠ»Π°ΡΠΈΡΠ° ΡΠΎ ΡΠΎΡΠΌΡΠ»Π°ΡΠΎΡ Π·Π° Π²ΡΠ°ΡΠ°ΡΠ΅ Π½Π° Π·Π°Π±ΠΎΡΠ°Π²Π΅Π½Π°ΡΠ° Π»ΠΎΠ·ΠΈΠ½ΠΊΠ°. Π Π°Π½Π»ΠΈΠ²ΠΎΡΡΠ° Π΅ ΠΏΡΠ΅Π΄ΠΈΠ·Π²ΠΈΠΊΠ°Π½Π° ΠΎΠ΄ ΠΌΠΎΠΆΠ½ΠΎΡΡΠ° Π·Π° ΠΈΡΠΏΡΠ°ΡΠ°ΡΠ΅ Π΅-ΠΏΠΎΡΡΠ° ΡΠΎ ΠΊΠΎΠ΄ Π·Π° ΡΠ΅ΡΠ΅ΡΠΈΡΠ°ΡΠ΅ Π½Π° Π»ΠΎΠ·ΠΈΠ½ΠΊΠ° Π½Π° Π½Π΅ΠΏΡΠΎΠ²Π΅ΡΠ΅Π½ΠΈ Π°Π΄ΡΠ΅ΡΠΈ Π½Π° Π΅-ΠΏΠΎΡΡΠ°. ΠΡΠΎΠ±Π»Π΅ΠΌΠΎΡ ΡΠ΅ ΠΏΠΎΡΠ°Π²ΡΠ²Π° ΡΡΡΠ΅ ΠΎΠ΄ ΠΎΠ±ΡΠ°Π²ΡΠ²Π°ΡΠ΅ΡΠΎ Π½Π° GitLab 16.1.0, ΠΊΠΎΡ Π²ΠΎΠ²Π΅Π΄Π΅ ΠΌΠΎΠΆΠ½ΠΎΡΡ Π΄Π° ΡΠ΅ ΠΈΡΠΏΡΠ°ΡΠΈ ΠΊΠΎΠ΄ Π·Π° Π²ΡΠ°ΡΠ°ΡΠ΅ Π½Π° Π»ΠΎΠ·ΠΈΠ½ΠΊΠ°ΡΠ° Π½Π° Π½Π΅ΠΏΡΠΎΠ²Π΅ΡΠ΅Π½Π° ΡΠ΅Π·Π΅ΡΠ²Π½Π° Π°Π΄ΡΠ΅ΡΠ° Π·Π° Π΅-ΠΏΠΎΡΡΠ°.
ΠΠ° Π΄Π° ΡΠ΅ ΠΏΡΠΎΠ²Π΅ΡΠ°Ρ ΡΠ°ΠΊΡΠΈΡΠ΅ Π·Π° ΠΊΠΎΠΌΠΏΡΠΎΠΌΠΈΡΠΎΡ Π½Π° ΡΠΈΡΡΠ΅ΠΌΠΈΡΠ΅, ΡΠ΅ ΠΏΡΠ΅Π΄Π»Π°Π³Π° Π΄Π° ΡΠ΅ ΠΏΡΠΎΡΠ΅Π½ΠΈ Π²ΠΎ Π΄Π½Π΅Π²Π½ΠΈΠΊΠΎΡ gitlab-rails/production_json.log ΠΏΡΠΈΡΡΡΡΠ²ΠΎΡΠΎ Π½Π° Π±Π°ΡΠ°ΡΠ° Π·Π° HTTP Π΄ΠΎ ΡΠΏΡΠ°Π²ΡΠ²Π°ΡΠΎΡ /users/password ΡΡΠΎ ΡΠΊΠ°ΠΆΡΠ²Π° Π½Π° Π½ΠΈΠ·Π° ΠΎΠ΄ Π½Π΅ΠΊΠΎΠ»ΠΊΡ Π΅-ΠΏΠΎΡΡΠ° Π²ΠΎ βparams.value.email β ΠΏΠ°ΡΠ°ΠΌΠ΅ΡΠ°Ρ. ΠΡΡΠΎ ΡΠ°ΠΊΠ°, ΡΠ΅ ΠΏΡΠ΅Π΄Π»Π°Π³Π° Π΄Π° ΡΠ΅ ΠΏΡΠΎΠ²Π΅ΡΠ°Ρ Π·Π°ΠΏΠΈΡΠΈΡΠ΅ Π²ΠΎ Π΄Π½Π΅Π²Π½ΠΈΠΊΠΎΡ gitlab-rails/audit_json.log ΡΠΎ Π²ΡΠ΅Π΄Π½ΠΎΡΡΠ° PasswordsController#create Π²ΠΎ meta.caller.id ΠΈ ΡΠΎ ΠΎΠ·Π½Π°ΡΡΠ²Π°ΡΠ΅ Π½Π° Π½ΠΈΠ·Π° ΠΎΠ΄ Π½Π΅ΠΊΠΎΠ»ΠΊΡ Π°Π΄ΡΠ΅ΡΠΈ Π²ΠΎ Π±Π»ΠΎΠΊΠΎΡ target_details. ΠΠ°ΠΏΠ°Π΄ΠΎΡ Π½Π΅ ΠΌΠΎΠΆΠ΅ Π΄Π° ΡΠ΅ Π·Π°Π²ΡΡΠΈ Π°ΠΊΠΎ ΠΊΠΎΡΠΈΡΠ½ΠΈΠΊΠΎΡ ΠΎΠ²ΠΎΠ·ΠΌΠΎΠΆΠΈ Π΄Π²ΠΎΡΠ°ΠΊΡΠΎΡΠ½Π° Π°Π²ΡΠ΅Π½ΡΠΈΠΊΠ°ΡΠΈΡΠ°.
ΠΡΠΎΡΠ°ΡΠ° ΡΠ°Π½Π»ΠΈΠ²ΠΎΡΡ, CVE-2023-5356, Π΅ ΠΏΡΠΈΡΡΡΠ½Π° Π²ΠΎ ΠΊΠΎΠ΄ΠΎΡ Π·Π° ΠΈΠ½ΡΠ΅Π³ΡΠ°ΡΠΈΡΠ° ΡΠΎ ΡΡΠ»ΡΠ³ΠΈΡΠ΅ Slack ΠΈ Mattermost ΠΈ Π²ΠΈ ΠΎΠ²ΠΎΠ·ΠΌΠΎΠΆΡΠ²Π° Π΄Π° ΠΈΠ·Π²ΡΡΡΠ²Π°ΡΠ΅ /-Π½Π°ΡΠ΅Π΄Π±ΠΈ ΠΏΠΎΠ΄ Π΄ΡΡΠ³ ΠΊΠΎΡΠΈΡΠ½ΠΈΠΊ ΠΏΠΎΡΠ°Π΄ΠΈ Π½Π΅Π΄ΠΎΡΡΠ°ΡΠΎΠΊ Π½Π° ΡΠΎΠΎΠ΄Π²Π΅ΡΠ½Π° ΠΏΡΠΎΠ²Π΅ΡΠΊΠ° Π·Π° ΠΎΠ²Π»Π°ΡΡΡΠ²Π°ΡΠ΅. ΠΠ° ΠΏΡΠΎΠ±Π»Π΅ΠΌΠΎΡ ΠΌΡ Π΅ Π΄ΠΎΠ΄Π΅Π»Π΅Π½ΠΎ Π½ΠΈΠ²ΠΎ Π½Π° ΡΠ΅ΡΠΈΠΎΠ·Π½ΠΎΡΡ ΠΎΠ΄ 9.6 ΠΎΠ΄ 10. ΠΠΎΠ²ΠΈΡΠ΅ Π²Π΅ΡΠ·ΠΈΠΈ, ΠΈΡΡΠΎ ΡΠ°ΠΊΠ°, Π΅Π»ΠΈΠΌΠΈΠ½ΠΈΡΠ°Π°Ρ ΠΏΠΎΠΌΠ°Π»ΠΊΡ ΠΎΠΏΠ°ΡΠ½Π° (7.6 ΠΎΠ΄ 10) ΡΠ°Π½Π»ΠΈΠ²ΠΎΡΡ (CVE-2023-4812), ΠΊΠΎΡΠ° Π²ΠΈ ΠΎΠ²ΠΎΠ·ΠΌΠΎΠΆΡΠ²Π° Π΄Π° Π³ΠΎ Π·Π°ΠΎΠ±ΠΈΠΊΠΎΠ»ΠΈΡΠ΅ ΠΎΠ΄ΠΎΠ±ΡΠ΅Π½ΠΈΠ΅ΡΠΎ ΠΎΠ΄ CODEOWNERS ΡΠΎ Π΄ΠΎΠ΄Π°Π²Π°ΡΠ΅ ΠΏΡΠΎΠΌΠ΅Π½ΠΈ Π½Π° ΠΏΡΠ΅ΡΡ ΠΎΠ΄Π½ΠΎ ΠΎΠ΄ΠΎΠ±ΡΠ΅Π½ΠΎ Π±Π°ΡΠ°ΡΠ΅ Π·Π° ΡΠΏΠΎΡΡΠ²Π°ΡΠ΅.
ΠΠ΅ΡΠ°Π»Π½ΠΈΡΠ΅ ΠΈΠ½ΡΠΎΡΠΌΠ°ΡΠΈΠΈ Π·Π° ΠΈΠ΄Π΅Π½ΡΠΈΡΠΈΠΊΡΠ²Π°Π½ΠΈΡΠ΅ ΠΏΡΠΎΠΏΡΡΡΠΈ ΡΠ΅ ΠΏΠ»Π°Π½ΠΈΡΠ° Π΄Π° Π±ΠΈΠ΄Π°Ρ ΠΎΠ±Π΅Π»ΠΎΠ΄Π΅Π½Π΅ΡΠΈ 30 Π΄Π΅Π½Π° ΠΏΠΎ ΠΎΠ±ΡΠ°Π²ΡΠ²Π°ΡΠ΅ΡΠΎ Π½Π° ΠΏΠΎΠΏΡΠ°Π²ΠΊΠ°ΡΠ°. Π Π°Π½Π»ΠΈΠ²ΠΎΡΡΠΈΡΠ΅ Π±Π΅Π° Π΄ΠΎΡΡΠ°Π²Π΅Π½ΠΈ Π΄ΠΎ GitLab ΠΊΠ°ΠΊΠΎ Π΄Π΅Π» ΠΎΠ΄ ΠΏΡΠΎΠ³ΡΠ°ΠΌΠ°ΡΠ° Π·Π° Π΄ΠΎΠ΄Π΅Π»ΡΠ²Π°ΡΠ΅ ΡΠ°Π½Π»ΠΈΠ²ΠΎΡΡ Π½Π° HackerOne.
ΠΠ·Π²ΠΎΡ: opennet.ru