GitLab ayaa daabacday taxanaha xiga ee cusboonaysiinta sixitaanka ee madalkeeda abaabulka horumarinta iskaashiga - 15.3.2, 15.2.4 iyo 15.1.6, taas oo meesha ka saaraysa nuglaanta halista ah (CVE-2022-2992) taas oo u oggolaanaysa isticmaale la xaqiijiyay inuu meel fog ka fuliyo koodka on server-ka. Sida nuglaanta CVE-2022-2884, kaas oo la hagaajiyay usbuuc ka hor, dhibaato cusub ayaa ku jirta API-ga soo dejinta xogta adeegga GitHub. Nuglaanta ayaa sidoo kale ka muuqata sii daynta 15.3.1, 15.2.3 iyo 15.1.5, kuwaas oo hagaajiyay nuglaanta kowaad ee koodhka soo dejinta ee GitHub.
Faahfaahinta hawlgalka weli lama bixin. Macluumaadka ku saabsan nuglaanta waxaa loo gudbiyay GitLab iyada oo qayb ka ah barnaamijka abaal-marinta nuglaanta HackerOne, laakiin si ka duwan dhibaatadii hore, waxaa aqoonsaday ka qaybgalayaasha kale. Hareer ahaan, waxaa lagula talinayaa in maamuluhu uu joojiyo shaqada soo dejinta ee GitHub (gudaha GitLab interface: "Menu" -> "Admin" -> "Settings" -> "Guud" -> "Muuqaalka iyo kontaroolada gelitaanka" - > "Ilaha soo dejinta" -> dami "GitHub").
Intaa waxaa dheer, cusboonaysiinta la soo jeediyay ayaa hagaajinaysa 14 dayacan oo dheeraad ah, oo laba ka mid ah lagu calaamadiyay khatar, toban ayaa loo qoondeeyay heer dhexdhexaad ah oo khatar ah, iyo laba ayaa lagu calaamadeeyay inay yihiin kuwo aan fiicneyn. Kuwa soo socda ayaa loo aqoonsan yahay inay khatar yihiin: nuglaanshaha CVE-2022-2865, kaas oo kuu ogolaanaya inaad ku darto koodka JavaScript boggaga isticmaalayaasha kale iyada oo la adeegsanaayo calaamadaha midabka, iyo sidoo kale nuglaanta CVE-2022-2527, taas oo suurtogal ka dhigaysa ku beddel macluumaadkaaga goobta sharaxaadda ee Jadwalka Qiyaasta Dhacdooyinka). Nuglaanta darnaanta dhexdhexaadka ah ayaa ugu horayn la xiriirta suurtagalnimada diidmada adeegga.
Source: opennet.ru