සහයෝගිතා සංවර්ධනය සංවිධානය කිරීම සඳහා වේදිකාවට නිවැරදි යාවත්කාලීන කිරීම් ප්රකාශයට පත් කර ඇත - GitLab 16.7.2, 16.6.4 සහ 16.5.6, තීරනාත්මක දුර්වලතා දෙකක් නිවැරදි කරයි. පළමු අවදානම (CVE-2023-7028), උපරිම බරපතලතා මට්ටම (10 න් 10) පවරා ඇති අතර, අමතක වූ මුරපද ප්රතිසාධන පෝරමය හැසිරවීම හරහා වෙනත් කෙනෙකුගේ ගිණුමක් අල්ලා ගැනීමට ඔබට ඉඩ සලසයි. මුරපද යළි පිහිටුවීමේ කේතයක් සහිත විද්යුත් තැපෑලක් සත්යාපනය නොකළ විද්යුත් තැපැල් ලිපින වෙත යැවීමේ හැකියාව හේතුවෙන් මෙම අවදානම ඇතිවේ. මුරපද ප්රතිසාධන කේතයක් සත්යාපනය නොකළ උපස්ථ විද්යුත් තැපැල් ලිපිනයකට යැවීමේ හැකියාව හඳුන්වා දුන් GitLab 16.1.0 නිකුතුවේ සිට ගැටලුව මතුවෙමින් තිබේ.
පද්ධති සම්මුතිය පිළිබඳ කරුණු පරීක්ෂා කිරීම සඳහා, "params.value.email හි ඊමේල් කිහිපයක අරාවක් දැක්වෙන /users/මුරපද හසුරුවන්නා වෙත HTTP ඉල්ලීම් තිබීම gitlab-rails/production_json.log ලොග් හි ඇගයීමට යෝජනා කෙරේ. "පරාමිතිය. gitlab-rails/audit_json.log log log log හි ඇති PasswordsController#create in meta.caller.id අගය සමඟින් සහ ඉලක්ක_විස්තර බ්ලොක් එකේ ලිපින කිහිපයක අරාවක් සඳහන් කිරීම සඳහා පරීක්ෂා කිරීමට ද යෝජනා කෙරේ. පරිශීලකයා ද්වි-සාධක සත්යාපනය සක්රීය කරන්නේ නම් ප්රහාරය සම්පූර්ණ කළ නොහැක.
දෙවන අවදානම, CVE-2023-5356, Slack සහ Mattermost සේවාවන් සමඟ ඒකාබද්ධ කිරීම සඳහා වන කේතයේ පවතින අතර, නිසි අවසර පරීක්ෂාවක් නොමැතිකම හේතුවෙන් වෙනත් පරිශීලකයෙකු යටතේ /-විධාන ක්රියාත්මක කිරීමට ඔබට ඉඩ සලසයි. ගැටලුවට 9.6න් 10ක බරපතලතා මට්ටමක් පවරා ඇත. නව අනුවාද මගින් අඩු අනතුරුදායක (7.6න් 10ක්) අවදානමක් (CVE-2023-4812) ඉවත් කරයි, එය කලින් අනුමත කළ එකකට වෙනස්කම් එක් කිරීමෙන් කේත හිමිකරුවන්ගේ අනුමැතිය මඟ හැරීමට ඔබට ඉඩ සලසයි. ඒකාබද්ධ ඉල්ලීම.
හඳුනාගත් දුර්වලතා පිළිබඳ සවිස්තරාත්මක තොරතුරු නිවැරදි කිරීම ප්රකාශයට පත් කිරීමෙන් දින 30 කට පසුව අනාවරණය කිරීමට සැලසුම් කර ඇත. HackerOne හි vulnerability bounty වැඩසටහනේ කොටසක් ලෙස මෙම දුර්වලතා GitLab වෙත ඉදිරිපත් කරන ලදී.
මූලාශ්රය: opennet.ru