Kemas kini pembetulan pada platform pembangunan kolaboratif GitLab 14.8.2, 14.7.4 dan 14.6.5 menghapuskan kerentanan kritikal (CVE-2022-0735) yang membolehkan pengguna yang tidak dibenarkan mengekstrak token pendaftaran dalam GitLab Runner, yang digunakan untuk memanggil pengendali apabila membina kod projek dalam sistem integrasi berterusan. Butiran belum diberikan, cuma masalahnya disebabkan oleh kebocoran maklumat apabila menggunakan arahan Tindakan Pantas.
Isu ini dikenal pasti oleh kakitangan GitLab dan mempengaruhi versi 12.10 hingga 14.6.5, 14.7 hingga 14.7.4 dan 14.8 hingga 14.8.2. Pengguna yang mengekalkan pemasangan GitLab tersuai dinasihatkan untuk memasang kemas kini atau menggunakan tampalan secepat mungkin. Isu ini telah diselesaikan dengan mengehadkan akses kepada arahan Tindakan Pantas kepada pengguna yang mempunyai kebenaran menulis sahaja. Selepas memasang kemas kini atau tampalan "awalan token" individu, token pendaftaran dalam Runner yang dibuat sebelum ini untuk kumpulan dan projek akan ditetapkan semula dan dijana semula.
Selain kerentanan kritikal, versi baharu juga menghapuskan 6 kelemahan yang kurang berbahaya yang boleh menyebabkan pengguna tidak bernasib baik menambahkan pengguna lain ke kumpulan, maklumat salah pengguna melalui manipulasi kandungan Coretan, kebocoran pembolehubah persekitaran melalui kaedah penghantaran sendmail, menentukan kehadiran pengguna melalui API GraphQL, kebocoran kata laluan apabila mencerminkan repositori melalui SSH dalam mod tarik, serangan DoS melalui sistem penyerahan komen.
Sumber: opennet.ru