GitLab تعاون جي ترقي کي منظم ڪرڻ لاءِ پنهنجي پليٽ فارم تي سڌارن جي تازه ڪارين جو ايندڙ سلسلو شايع ڪيو آهي - 15.3.2، 15.2.4 ۽ 15.1.6، جيڪي هڪ نازڪ خطري کي ختم ڪن ٿا (CVE-2022-2992) جيڪو هڪ تصديق ٿيل صارف کي اجازت ڏئي ٿو ته ڪوڊ کي ريموٽ طور تي عمل ڪري. سرور تي. CVE-2022-2884 جي ڪمزوري وانگر، جيڪو هڪ هفتو اڳ طئي ڪيو ويو هو، هڪ نئون مسئلو موجود آهي API ۾ GitHub سروس مان ڊيٽا درآمد ڪرڻ لاءِ. نقصان 15.3.1، 15.2.3 ۽ 15.1.5 رليز ۾ پڻ ظاهر ٿئي ٿو، جيڪو GitHub کان درآمد ڪوڊ ۾ پهريون نقصان مقرر ڪيو.
آپريشنل تفصيل اڃا تائين مهيا نه ڪيا ويا آهن. نقصان جي باري ۾ معلومات GitLab ڏانهن جمع ڪئي وئي هئي HackerOne جي ڪمزوري فضل پروگرام جي حصي جي طور تي، پر اڳئين مسئلي جي برعڪس، ان جي سڃاڻپ هڪ ٻئي شرڪت ڪندڙ طرفان ڪئي وئي هئي. هڪ حل جي طور تي، اها سفارش ڪئي وئي آهي ته منتظم GitHub (GitLab ويب انٽرفيس ۾: "Menu" -> "Admin" -> "سيٽنگون" -> "General" -> "visibility and access controls" کان درآمد ٿيل فنڪشن کي غير فعال ڪري. > "ذريعو درآمد ڪريو" -> غير فعال "GitHub").
ان کان علاوه، تجويز ڪيل تازه ڪاريون 14 وڌيڪ خطرن کي درست ڪن ٿيون، جن مان ٻه خطرناڪ طور تي نشان لڳل آھن، ڏھن کي وچولي سطح جو خطرو مقرر ڪيو ويو آھي، ۽ ٻن کي بي نظير طور نشان لڳايو ويو آھي. هيٺيون خطرناڪ طور سڃاتل آهن: vulnerability CVE-2022-2865، جيڪو توهان کي اجازت ڏئي ٿو توهان جو پنهنجو جاوا اسڪرپٽ ڪوڊ شامل ڪرڻ جي صفحن تي جيڪو ٻين استعمال ڪندڙن کي ڏيکاريل آهي رنگن جي ليبلز جي استعمال سان، انهي سان گڏ خطرات CVE-2022-2527، جنهن کي ممڪن بڻائي ٿو. حادثا اسڪيل ٽائم لائن ۾ تفصيل واري فيلڊ ذريعي پنھنجي مواد کي تبديل ڪريو). اعتدال پسند شدت جي خطرات بنيادي طور تي خدمت جي انڪار جي امڪان سان لاڳاپيل آهن.
جو ذريعو: opennet.ru