OAuth, LDAP, SAML എന്നിവ വഴി അംഗീകൃത അക്കൗണ്ടുകൾ ഏറ്റെടുക്കാൻ നിങ്ങളെ അനുവദിക്കുന്ന GitLab-ലെ ദുർബലത

സഹകരണ വികസന പ്ലാറ്റ്‌ഫോമായ GitLab 14.7.7, 14.8.5, 14.9.2 എന്നിവയിലേക്കുള്ള തിരുത്തൽ അപ്‌ഡേറ്റുകൾ OmniAuth (OAuth) പ്രൊവൈഡർ , LDAP എന്നിവ ഉപയോഗിച്ച് രജിസ്‌റ്റർ ചെയ്‌ത അക്കൗണ്ടുകൾക്കായി ഹാർഡ്‌കോഡ് ചെയ്‌ത പാസ്‌വേഡുകൾ സജ്ജീകരിക്കുന്നതുമായി ബന്ധപ്പെട്ട ഗുരുതരമായ അപകടസാധ്യത (CVE-2022-1162) ഇല്ലാതാക്കുന്നു. . ഈ അപകടസാധ്യത ഒരു ആക്രമണകാരിയെ അക്കൗണ്ടിലേക്ക് ആക്‌സസ് ചെയ്യാൻ അനുവദിക്കുന്നു. എല്ലാ ഉപയോക്താക്കളും ഉടൻ തന്നെ അപ്ഡേറ്റ് ഇൻസ്റ്റാൾ ചെയ്യാൻ നിർദ്ദേശിക്കുന്നു. പ്രശ്നത്തിന്റെ വിശദാംശങ്ങൾ ഇതുവരെ വെളിപ്പെടുത്തിയിട്ടില്ല. അക്കൗണ്ടുകളെ പ്രശ്‌നം ബാധിച്ച ഉപയോക്താക്കളോട് അവരുടെ പാസ്‌വേഡുകൾ പുനഃസജ്ജമാക്കാൻ പ്രേരിപ്പിച്ചിട്ടുണ്ട്. GitLab ജീവനക്കാരാണ് പ്രശ്നം തിരിച്ചറിഞ്ഞത്, അന്വേഷണത്തിൽ ഉപയോക്തൃ വിട്ടുവീഴ്ചയുടെ സൂചനകളൊന്നും വെളിപ്പെടുത്തിയിട്ടില്ല.

പുതിയ പതിപ്പുകൾ 16 കൂടുതൽ കേടുപാടുകൾ ഇല്ലാതാക്കുന്നു, അതിൽ 2 എണ്ണം അപകടകരമാണെന്നും 9 എണ്ണം മിതമായതും 5 അപകടകരമല്ലെന്നും അടയാളപ്പെടുത്തിയിരിക്കുന്നു. അപകടകരമായ പ്രശ്‌നങ്ങളിൽ കമന്റുകളിൽ HTML കുത്തിവയ്‌പ്പിന്റെ (XSS) സാധ്യതയും (CVE-2022-1175), ഇഷ്യൂവിലെ കമന്റുകൾ/വിവരണങ്ങളും (CVE-2022-1190) ഉൾപ്പെടുന്നു.

അവലംബം: opennet.ru