GitLab нь хамтын хөгжүүлэлтийг зохион байгуулах платформдоо залруулах дараагийн цуврал шинэчлэлтүүдийг нийтэллээ - 15.3.2, 15.2.4, 15.1.6 нь баталгаажуулсан хэрэглэгчдэд кодыг алсаас гүйцэтгэх боломжийг олгодог чухал эмзэг байдлыг (CVE-2022-2992) арилгадаг. сервер дээр. Долоо хоногийн өмнө зассан CVE-2022-2884-ийн эмзэг байдлын нэгэн адил API-д GitHub үйлчилгээнээс өгөгдөл импортлох шинэ асуудал гарч байна. Энэ эмзэг байдал нь 15.3.1, 15.2.3, 15.1.5 хувилбаруудад мөн гарч ирдэг бөгөөд энэ нь GitHub-аас импортын кодын анхны эмзэг байдлыг зассан.
Үйл ажиллагааны дэлгэрэнгүй мэдээллийг хараахан өгөөгүй байна. Эмзэг байдлын талаарх мэдээллийг GitLab-д HackerOne-ийн эмзэг байдлын урамшууллын хөтөлбөрийн нэг хэсэг болгон илгээсэн боловч өмнөх асуудлаас ялгаатай нь өөр оролцогч илрүүлсэн байна. Үүнийг шийдвэрлэхийн тулд администраторыг GitHub-аас импортлох функцийг идэвхгүй болгохыг зөвлөж байна (GitLab вэб интерфэйс: "Цэс" -> "Админ" -> "Тохиргоо" -> "Ерөнхий" -> "Харагдах байдал ба хандалтын хяналт" - > "Импортын эх сурвалж" -> "GitHub"-ыг идэвхгүй болгох).
Нэмж дурдахад, санал болгож буй шинэчлэлтүүд нь өөр 14 эмзэг байдлыг зассан бөгөөд тэдгээрийн хоёр нь аюултай, арав нь дунд зэргийн аюул, хоёр нь хоргүй гэж тэмдэглэгдсэн байна. Дараахь зүйлсийг аюултай гэж хүлээн зөвшөөрсөн: CVE-2022-2865 эмзэг байдал нь өнгөт шошго ашиглан бусад хэрэглэгчдэд үзүүлсэн хуудсанд өөрийн JavaScript кодыг нэмэх боломжийг олгодог, мөн CVE-2022-2527 эмзэг байдал нь Осол тохиолдлын масштабын цагийн хуваарь дахь тайлбарын талбараар дамжуулан контентоо орлуулна уу). Дунд зэргийн ноцтой эмзэг байдал нь үндсэндээ үйлчилгээ үзүүлэхээс татгалзах магадлалтай холбоотой байдаг.
Эх сурвалж: opennet.ru