GitLab 14.8.2၊ 14.7.4 နှင့် 14.6.5 တို့သည် ပူးပေါင်းဆောင်ရွက်သော ဖွံ့ဖြိုးတိုးတက်မှု ပလပ်ဖောင်းအတွက် မှန်ကန်သော အပ်ဒိတ်များ ဖယ်ရှားပေးသည့် အရေးပါသော အားနည်းချက် (CVE-2022-0735) ကို ကိုင်တွယ်သူများကို ခေါ်ဆိုရန်အတွက် အသုံးပြုသည့် GitLab Runner တွင် မှတ်ပုံတင်ထားသော တိုကင်များကို ထုတ်ယူနိုင်စေသော၊ စဉ်ဆက်မပြတ်ပေါင်းစည်းမှုစနစ်တွင် ပရောဂျက်ကုဒ်ကို တည်ဆောက်သည့်အခါ။ အသေးစိတ်အချက်အလက်များကို မဖော်ပြထားသေးပါ၊ Quick Actions ညွှန်ကြားချက်များကို အသုံးပြုသည့်အခါ ပြဿနာသည် အချက်အလက်များ ပေါက်ကြားခြင်းကြောင့်သာဖြစ်သည်။
အဆိုပါပြဿနာကို GitLab ဝန်ထမ်းများက ဖော်ထုတ်ခဲ့ပြီး ဗားရှင်း 12.10 မှ 14.6.5၊ 14.7 မှ 14.7.4 နှင့် 14.8 မှ 14.8.2 ဗားရှင်းများအပေါ် သက်ရောက်မှုရှိသည်။ စိတ်ကြိုက် GitLab တပ်ဆင်မှုများကို ထိန်းသိမ်းထားသည့် အသုံးပြုသူများသည် အပ်ဒိတ်ကို ထည့်သွင်းရန် သို့မဟုတ် တတ်နိုင်သမျှ patch ကို အမြန်ဆုံး အသုံးပြုရန် အကြံပြုထားသည်။ စာရေးခွင့်ပြုချက်ဖြင့် အသုံးပြုသူများသာ အမြန်လုပ်ဆောင်မှုများ ညွှန်ကြားချက်များ ဝင်ရောက်ခွင့်ကို ကန့်သတ်ခြင်းဖြင့် ပြဿနာကို ဖြေရှင်းခဲ့သည်။ အပ်ဒိတ် သို့မဟုတ် "တိုကင်-ရှေ့ဆက်" ဖာထေးမှုတစ်ခုချင်းစီကို ထည့်သွင်းပြီးနောက်၊ အုပ်စုများနှင့် ပရောဂျက်များအတွက် ယခင်က ဖန်တီးထားသည့် Runner တွင် မှတ်ပုံတင်ထားသော တိုကင်များကို ပြန်လည်သတ်မှတ်ပြီး ပြန်လည်ထုတ်ပေးပါမည်။
အရေးပါသော အားနည်းချက်အပြင်၊ ဗားရှင်းအသစ်များသည် အခွင့်ထူးမခံသောအသုံးပြုသူတစ်ဦးအား အခြားအသုံးပြုသူများကို အုပ်စုများထဲသို့ထည့်ခြင်း၊ Snippets ၏အကြောင်းအရာများကို ခြယ်လှယ်ခြင်းမှတစ်ဆင့် သုံးစွဲသူများ၏သတင်းမှားများ၊ ပေးပို့စာပေးပို့မှုနည်းလမ်းမှတစ်ဆင့် ပတ်ဝန်းကျင်ပြောင်းလဲမှုကွဲလွဲချက်များကို ပေါက်ကြားစေခြင်း၊ GraphQL API မှတဆင့် သုံးစွဲသူများ၏ တည်ရှိမှုကို ဆုံးဖြတ်ခြင်း၊ SSH မှတစ်ဆင့် သိုလှောင်ရာနေရာများကို ထင်ဟပ်ပြသည့်အခါ စကားဝှက်များ ပေါက်ကြားခြင်း၊ မှတ်ချက်တင်ပြမှုစနစ်မှတစ်ဆင့် DoS တိုက်ခိုက်မှု။
source: opennet.ru