Aġġornamenti korrettivi għall-pjattaforma ta' żvilupp kollaborattiv GitLab 14.8.2, 14.7.4 u 14.6.5 jeliminaw vulnerabbiltà kritika (CVE-2022-0735) li tippermetti lil utent mhux awtorizzat li jiġbed tokens ta' reġistrazzjoni fil-GitLab Runner, li jintuża biex iċempel lill-handlers. meta tibni kodiċi tal-proġett f'sistema ta 'integrazzjoni kontinwa. Id-dettalji għadhom mhumiex ipprovduti, biss li l-problema hija kkawżata minn tnixxija ta 'informazzjoni meta tuża l-kmandi ta' Quick Actions.
Il-kwistjoni ġiet identifikata mill-persunal ta' GitLab u taffettwa l-verżjonijiet 12.10 sa 14.6.5, 14.7 sa 14.7.4, u 14.8 sa 14.8.2. L-utenti li jżommu installazzjonijiet GitLab tad-dwana huma avżati biex jinstallaw l-aġġornament jew japplikaw il-garża kemm jista 'jkun malajr. Il-kwistjoni ġiet solvuta billi l-aċċess għall-kmandi ta' Quick Actions ġie ristrett għal utenti biss b'permess ta' kitba. Wara l-installazzjoni ta 'l-aġġornament jew irqajja individwali ta' "token-prefiss", tokens ta 'reġistrazzjoni f'Runner maħluqa qabel għal gruppi u proġetti se jiġu reset u riġenerati.
Minbarra l-vulnerabbiltà kritika, il-verżjonijiet il-ġodda jeliminaw ukoll 6 vulnerabbiltajiet inqas perikolużi li jistgħu jwasslu għal utent mhux privileġġjat li jżid utenti oħra ma 'gruppi, informazzjoni ħażina ta' utenti permezz ta 'manipulazzjoni tal-kontenut ta' Snippets, tnixxija ta 'varjabbli ambjentali permezz tal-metodu ta' konsenja sendmail, determinazzjoni tal-preżenza ta 'utenti permezz tal-API GraphQL, tnixxija ta' passwords meta tirrifletti repożitorji permezz SSH fil-modalità pull, attakk DoS permezz tas-sistema ta 'sottomissjoni ta' kummenti.
Sors: opennet.ru