Corrigerende updates voor het collaboratieve ontwikkelingsplatform GitLab 14.8.2, 14.7.4 en 14.6.5 elimineren een kritieke kwetsbaarheid (CVE-2022-0735) waardoor een ongeautoriseerde gebruiker registratietokens kan extraheren in GitLab Runner, die wordt gebruikt om handlers aan te roepen bij het bouwen van projectcode in een continu integratiesysteem. Er zijn nog geen details verstrekt, alleen dat het probleem wordt veroorzaakt door het lekken van informatie bij het gebruik van Quick Actions-opdrachten.
Het probleem werd geïdentificeerd door medewerkers van GitLab en treft versies 12.10 tot 14.6.5, 14.7 tot 14.7.4 en 14.8 tot 14.8.2. Gebruikers die aangepaste GitLab-installaties onderhouden, worden geadviseerd de update zo snel mogelijk te installeren of de patch toe te passen. Het probleem is opgelost door de toegang tot Snelle Acties-opdrachten te beperken tot alleen gebruikers met schrijfrechten. Na het installeren van de update of individuele “token-prefix”-patches worden registratietokens in Runner die eerder voor groepen en projecten zijn gemaakt, gereset en opnieuw gegenereerd.
Naast de kritieke kwetsbaarheid elimineren de nieuwe versies ook zes minder gevaarlijke kwetsbaarheden die ertoe kunnen leiden dat een onbevoegde gebruiker andere gebruikers aan groepen toevoegt, verkeerde informatie over gebruikers door manipulatie van de inhoud van fragmenten, het lekken van omgevingsvariabelen via de verzendmethode van sendmail, het vaststellen van de aanwezigheid van gebruikers via de GraphQL API, het lekken van wachtwoorden bij het spiegelen van repositories via SSH in pull-modus, DoS-aanval via het commentaarinzendingssysteem.
Bron: opennet.ru