एक हप्तामा GitLab मा दोस्रो महत्वपूर्ण जोखिम

GitLab ले सहयोगी विकासलाई व्यवस्थित गर्नको लागि यसको प्लेटफर्ममा सुधारात्मक अपडेटहरूको अर्को श्रृंखला प्रकाशित गरेको छ - 15.3.2, 15.2.4 र 15.1.6, जसले एक महत्वपूर्ण जोखिम (CVE-2022-2992) लाई हटाउँछ जसले एक प्रमाणीकृत प्रयोगकर्तालाई टाढाबाट कोड कार्यान्वयन गर्न अनुमति दिन्छ। सर्भरमा। CVE-2022-2884 कमजोरी जस्तै, जुन एक हप्ता पहिले फिक्स गरिएको थियो, GitHub सेवाबाट डाटा आयात गर्न API मा नयाँ समस्या अवस्थित छ। जोखिम 15.3.1, 15.2.3 र 15.1.5 रिलीजहरूमा पनि देखिन्छ, जसले GitHub बाट आयात कोडमा पहिलो जोखिमलाई फिक्स गर्यो।

परिचालन विवरणहरू अझै प्रदान गरिएको छैन। HackerOne को कमजोरी बाउन्टी कार्यक्रमको भागको रूपमा GitLab मा भेद्यताको बारेमा जानकारी पेश गरिएको थियो, तर अघिल्लो समस्याको विपरीत, यो अर्को सहभागीद्वारा पहिचान गरिएको थियो। एक समाधानको रूपमा, यो सिफारिस गरिन्छ कि प्रशासकले GitHub बाट आयात प्रकार्य असक्षम पार्नुहोस् (GitLab वेब इन्टरफेसमा: "मेनु" -> "प्रशासक" -> "सेटिङ्हरू" -> "सामान्य" -> "दृश्यता र पहुँच नियन्त्रणहरू" - > "स्रोतहरू आयात गर्नुहोस्" -> "GitHub" असक्षम गर्नुहोस्)।

थप रूपमा, प्रस्तावित अद्यावधिकहरूले थप 14 जोखिमहरू समाधान गर्दछ, जसमध्ये दुईलाई खतरनाक रूपमा चिन्ह लगाइएको छ, दसलाई मध्यम स्तरको खतरा तोकिएको छ, र दुईलाई सौम्य रूपमा चिन्ह लगाइएको छ। निम्नलाई खतरनाकका रूपमा मान्यता दिइएको छ: जोखिम CVE-2022-2865, जसले तपाईंलाई रंग लेबलहरू हेरफेर गरेर अन्य प्रयोगकर्ताहरूलाई देखाइएका पृष्ठहरूमा तपाईंको आफ्नै JavaScript कोड थप्न अनुमति दिन्छ, साथै जोखिम CVE-2022-2527, जसले यसलाई सम्भव बनाउँछ। घटना स्केल टाइमलाइनमा वर्णन फिल्ड मार्फत तपाईंको सामग्री प्रतिस्थापन गर्नुहोस्)। मध्यम गम्भीरता कमजोरीहरू मुख्य रूपमा सेवा अस्वीकार गर्ने सम्भावनासँग सम्बन्धित छन्।

स्रोत: opennet.ru