Zosintha zowongolera papulatifomu yokonzekera chitukuko chogwirizana zasindikizidwa - GitLab 16.7.2, 16.6.4 ndi 16.5.6, zomwe zimakonza zovuta ziwiri. Chiwopsezo choyamba (CVE-2023-7028), chomwe chimayikidwa mulingo wovuta kwambiri (10 mwa 10), chimakupatsani mwayi wolanda akaunti ya munthu wina kudzera mukusintha fomu yoyiwala mawu achinsinsi. Chiwopsezocho chimayamba chifukwa chotha kutumiza imelo yokhala ndi nambala yokhazikitsira mawu achinsinsi ku ma adilesi osatsimikizika. Vutoli lakhala likuwonekera kuyambira pomwe GitLab 16.1.0 idatulutsidwa, yomwe idawonetsa kuthekera kotumiza nambala yobwezeretsa mawu achinsinsi ku imelo yosunga zosunga zobwezeretsera yosatsimikizika.
Kuti muwone zowona za kunyengerera kwa machitidwe, akufunsidwa kuti muwunikire mu gitlab-rails/production_json.log log kupezeka kwa zopempha za HTTP kwa /users/password handler kusonyeza mndandanda wa maimelo angapo mu "params.value.email "parameter. Ndikulangizidwanso kuti muwone zomwe zalembedwa mu gitlab-rails/audit_json.log log ndi mtengo PasswordsController#create in meta.caller.id ndikuwonetsa mndandanda wa ma adilesi angapo mu block_details block. Kuwukira sikungatheke ngati wogwiritsa ntchito amathandizira kutsimikizika kwazinthu ziwiri.
Chiwopsezo chachiwiri, CVE-2023-5356, chilipo mu code yophatikizika ndi ntchito za Slack ndi Mattermost, ndikukulolani kuti mupereke /-malamulo pansi pa wogwiritsa wina chifukwa chosowa chilolezo choyenera. Nkhaniyi imayikidwa mulingo wovuta wa 9.6 mwa 10. Matembenuzidwe atsopanowa amachotsanso chiopsezo chochepa (7.6 mwa 10) (CVE-2023-4812), chomwe chimakulolani kuti mulambalale chivomerezo cha CODEOWNERS powonjezera zosintha ku zovomerezeka kale. phatikizani pempho.
Zambiri zokhudzana ndi zovuta zomwe zadziwika zikuyenera kuwululidwa patatha masiku 30 chitsimikizochi chitsitsidwe. Zowopsazi zidatumizidwa ku GitLab ngati gawo la pulogalamu yachiwopsezo ya HackerOne.
Source: opennet.ru