GitLab 14.8.2, 14.7.4 සහ 14.6.5 සහයෝගිතා සංවර්ධන වේදිකාව වෙත නිවැරදි යාවත්කාලීන කිරීම්, අනවසර පරිශීලකයෙකුට හසුරුවන්නන් ඇමතීමට භාවිතා කරන GitLab Runner හි ලියාපදිංචි ටෝකන් ලබා ගැනීමට ඉඩ සලසන තීරණාත්මක අවදානමක් (CVE-2022-0735) ඉවත් කරයි. අඛණ්ඩ ඒකාබද්ධ පද්ධතියක් තුළ ව්යාපෘති කේතය ගොඩනඟන විට. විස්තර තවම සපයා නැත, ඉක්මන් ක්රියා විධාන භාවිතා කරන විට තොරතුරු කාන්දු වීම නිසා ගැටළුව ඇති වේ.
මෙම ගැටළුව GitLab කාර්ය මණ්ඩලය විසින් හඳුනාගෙන ඇති අතර 12.10 සිට 14.6.5, 14.7 සිට 14.7.4, සහ 14.8 සිට 14.8.2 දක්වා අනුවාදවලට බලපායි. අභිරුචි GitLab ස්ථාපනයන් පවත්වාගෙන යන පරිශීලකයින්ට යාවත්කාලීනය ස්ථාපනය කිරීමට හෝ හැකි ඉක්මනින් පැච් යෙදීමට උපදෙස් දෙනු ලැබේ. ලිඛිත අවසරය ඇති පරිශීලකයින්ට පමණක් ඉක්මන් ක්රියා විධාන වෙත ප්රවේශය සීමා කිරීමෙන් ගැටළුව විසඳා ඇත. යාවත්කාලීන කිරීම හෝ තනි “ටෝකන-උපසර්ග” පැච් ස්ථාපනය කිරීමෙන් පසුව, කණ්ඩායම් සහ ව්යාපෘති සඳහා කලින් නිර්මාණය කරන ලද Runner හි ලියාපදිංචි ටෝකන නැවත සකස් කර නැවත උත්පාදනය කරනු ලැබේ.
විවේචනාත්මක අවදානමට අමතරව, නව අනුවාදයන් අඩු භයානක අවදානම් 6 ක් ඉවත් කර ඇති අතර එමඟින් වරප්රසාද ලත් පරිශීලකයෙකු කණ්ඩායම්වලට වෙනත් පරිශීලකයින් එක් කිරීමට හේතු විය හැක, ස්නිපෙට් වල අන්තර්ගතය හැසිරවීමෙන් පරිශීලකයින් වැරදි තොරතුරු ලබා දීම, sendmail බෙදා හැරීමේ ක්රමය හරහා පාරිසරික විචල්යයන් කාන්දු වීම, GraphQL API හරහා පරිශීලකයින්ගේ පැමිණීම තීරණය කිරීම, SSH හරහා පුල් මාදිලිය හරහා ගබඩාවන් පිළිබිඹු කරන විට මුරපද කාන්දු වීම, අදහස් ඉදිරිපත් කිරීමේ පද්ධතිය හරහා DoS ප්රහාරය.
මූලාශ්රය: opennet.ru