Lintlafatso tse lokisoang sethaleng sa nts'etsopele ea tšebelisano-'moho GitLab 14.8.2, 14.7.4 le 14.6.5 li felisa ts'oenyeho e matla (CVE-2022-0735) e lumellang mosebelisi ea sa lumelloeng ho ntša li-tokens tsa ngoliso ho GitLab Runner, e sebelisetsoang ho letsetsa ba sebetsang. ha o haha khoutu ea morero ka mokhoa o tsoelang pele oa ho kopanya. Lintlha ha li so fanoe, feela hore bothata bo bakoa ke ho lutla ha tlhahisoleseling ha u sebelisa litaelo tsa Quick Actions.
Taba ena e khethiloe ke basebetsi ba GitLab mme e ama mefuta ea 12.10 ho isa ho 14.6.5, 14.7 ho isa ho 14.7.4, le 14.8 ho isa ho 14.8.2. Basebelisi ba bolokang lits'ebetso tsa GitLab ba eletsoa ho kenya ntlafatso kapa ho kenya patch kapele kamoo ho ka khonehang. Taba ena e ile ea rarolloa ka ho thibela phihlello ea litaelo tsa Quick Actions ho basebelisi feela ba nang le tumello ea ho ngola. Ka mor'a ho kenya lisebelisoa kapa li-patches tsa "token-prefix" ka bomong, li-tokens tsa ho ngolisa ho Runner tse entsoeng pele bakeng sa lihlopha le merero li tla tsosolosoa le ho nchafatsoa.
Ntle le ho ba kotsing e kholo, liphetolelo tse ncha li boetse li tlosa bofokoli ba 6 bo seng kotsi bo ka lebisang ho mosebelisi ea se nang tokelo ea ho eketsa basebelisi ba bang lihlopheng, mashano a basebelisi ka ho qhekella litaba tsa Snippets, ho lutla ha maemo a tikoloho ka mokhoa oa ho romella mangolo-tsoibila, ho khetholla boteng ba basebelisi ka GraphQL API, ho lutla ha li-password ha u sheba li-repositories ka SSH ka mokhoa oa ho hula, tlhaselo ea DoS ka mokhoa oa ho fana ka maikutlo.
Source: opennet.ru