ProHoster > ဘလော့ > အင်တာနက်သတင်း > GitLab ရှိ အားနည်းချက်များသည် အကောင့်ကို ပြန်ပေးဆွဲခြင်းနှင့် အခြားအသုံးပြုသူအောက်ရှိ ညွှန်ကြားချက်များကို လုပ်ဆောင်နိုင်စေသော အားနည်းချက်များ

GitLab ရှိ အားနည်းချက်များသည် အကောင့်ကို ပြန်ပေးဆွဲခြင်းနှင့် အခြားအသုံးပြုသူအောက်ရှိ ညွှန်ကြားချက်များကို လုပ်ဆောင်နိုင်စေသော အားနည်းချက်များ

ပူးပေါင်းဆောင်ရွက်သော ဖွံ့ဖြိုးတိုးတက်မှုအတွက် ပလက်ဖောင်းအတွက် ပြုပြင်မွမ်းမံမှုများကို ထုတ်ဝေလိုက်ပါပြီ - GitLab 16.7.2၊ 16.6.4 နှင့် 16.5.6၊ အရေးကြီးသော အားနည်းချက်နှစ်ခုကို ဖြေရှင်းပေးပါသည်။ အမြင့်ဆုံး ပြင်းထန်မှုအဆင့် (2023 တွင် 7028 မှ 10) သတ်မှတ်ထားသည့် ပထမအားနည်းချက် (CVE-10-16.1.0) သည် မေ့သွားသော စကားဝှက် ပြန်လည်ရယူရေးပုံစံကို ကိုင်တွယ်ခြင်းဖြင့် အခြားသူတစ်ဦး၏အကောင့်ကို သိမ်းယူနိုင်မည်ဖြစ်သည်။ အတည်မပြုရသေးသော အီးမေးလ်လိပ်စာများသို့ စကားဝှက်ပြန်လည်သတ်မှတ်ကုဒ်ဖြင့် အီးမေးလ်တစ်စောင် ပေးပို့နိုင်ခြေရှိခြင်းကြောင့် အားနည်းချက်ဖြစ်သည်။ GitLab XNUMX တွင် စကားဝှက်ပြန်လည်ရယူခြင်းကုဒ်ကို အတည်မပြုရသေးသော အရန်အီးမေးလ်လိပ်စာသို့ စကားဝှက်ပြန်လည်ရယူခြင်းအား ပေးပို့နိုင်သည့်စွမ်းရည်ကို မိတ်ဆက်ပေးခဲ့သည့် GitLab XNUMX ထုတ်ဝေကတည်းက ပြဿနာပေါ်လာခဲ့သည်။

စနစ်များ၏ အပေးအယူဆိုင်ရာ အချက်အလက်များကို စစ်ဆေးရန်၊ gitlab-rails/production_json.log တွင် "params.value.email အတွင်းရှိ အီးမေးလ်အများအပြားကို ခင်းကျင်းပြသထားသည့် HTTP တောင်းဆိုမှုများ ရှိနေခြင်း" ၏ ပါဝင်မှုကို အကဲဖြတ်ရန် အဆိုပြုထားသည်။ "သတ်မှတ်ချက်။ meta.caller.id တွင် တန်ဖိုးရှိသော PasswordsController#create ဖြင့် gitlab-rails/audit_json.log မှတ်တမ်းတွင် ထည့်သွင်းမှုများကို စစ်ဆေးရန်နှင့် target_details ပိတ်ဆို့ခြင်းရှိ လိပ်စာများစွာကို ညွှန်ပြရန်လည်း အကြံပြုထားသည်။ အသုံးပြုသူသည် two-factor authentication ကိုဖွင့်ပါက တိုက်ခိုက်မှုကို အပြီးသတ်နိုင်မည်မဟုတ်ပါ။

ဒုတိယ အားနည်းချက်၊ CVE-2023-5356 သည် Slack နှင့် Mattermost ဝန်ဆောင်မှုများနှင့် ပေါင်းစည်းရန်အတွက် ကုဒ်တွင် ပါရှိပြီး သင့်လျော်သော ခွင့်ပြုချက်မရှိခြင်းကြောင့် အခြားအသုံးပြုသူ၏ အောက်တွင် /-commands များကို လုပ်ဆောင်နိုင်မည်ဖြစ်သည်။ အဆိုပါပြဿနာကို ပြင်းထန်မှုအဆင့် 9.6 တွင် 10 အဆင့်သတ်မှတ်ထားသည်။ ဗားရှင်းအသစ်များသည် အန္တရာယ်နည်းပါးသော (7.6 အနက်မှ 10) အားနည်းချက် (CVE-2023-4812) ကို ဖယ်ရှားပေးကာ CODEOWNERS အတည်ပြုချက်ကို ကျော်ဖြတ်နိုင်စေမည့် အပြောင်းအလဲများကို ပေါင်းထည့်ခြင်းဖြင့် ယခင်က အတည်ပြုထားသော CODEOWNERS အတည်ပြုချက်ကို ကျော်လွှားနိုင်စေမည်ဖြစ်သည်။ ပေါင်းစည်းရန် တောင်းဆိုချက်။

ဖော်ထုတ်ထားသော အားနည်းချက်များအကြောင်း အသေးစိတ်အချက်အလက်များကို ပြင်ဆင်ပြီးသည့်နောက် ရက်ပေါင်း 30 အကြာတွင် ထုတ်ပြန်ရန် စီစဉ်ထားသည်။ အားနည်းချက်များကို HackerOne ၏ အားနည်းချက်ဆုကြေးပေးအစီအစဉ်၏ တစ်စိတ်တစ်ပိုင်းအနေဖြင့် GitLab သို့ တင်ပြထားပါသည်။

source: opennet.ru

မှတ်ချက် Add