கூட்டு வளர்ச்சியை ஒழுங்கமைப்பதற்கான தளத்திற்கான திருத்தமான புதுப்பிப்புகள் வெளியிடப்பட்டுள்ளன - GitLab 16.7.2, 16.6.4 மற்றும் 16.5.6, இது இரண்டு முக்கியமான பாதிப்புகளை சரிசெய்கிறது. முதல் பாதிப்பு (CVE-2023-7028), இது அதிகபட்ச தீவிர நிலை (10 இல் 10) ஒதுக்கப்பட்டுள்ளது, மறந்துபோன கடவுச்சொல் மீட்பு படிவத்தை கையாளுவதன் மூலம் வேறொருவரின் கணக்கைக் கைப்பற்ற உங்களை அனுமதிக்கிறது. சரிபார்க்கப்படாத மின்னஞ்சல் முகவரிகளுக்கு கடவுச்சொல் மீட்டமைப்புக் குறியீட்டைக் கொண்ட மின்னஞ்சலை அனுப்பும் சாத்தியக்கூறுகளால் பாதிப்பு ஏற்படுகிறது. GitLab 16.1.0 வெளியிடப்பட்டதில் இருந்து சிக்கல் தோன்றுகிறது, இது கடவுச்சொல் மீட்பு குறியீட்டை சரிபார்க்கப்படாத காப்பு மின்னஞ்சல் முகவரிக்கு அனுப்பும் திறனை அறிமுகப்படுத்தியது.
அமைப்புகளின் சமரசத்தின் உண்மைகளைச் சரிபார்க்க, gitlab-rails/production_json.log பதிவில், "params.value.email இல் உள்ள பல மின்னஞ்சல்களின் வரிசையைக் குறிக்கும் / பயனர்கள்/கடவுச்சொல் கையாளுபவருக்கு HTTP கோரிக்கைகள் இருப்பதை மதிப்பீடு செய்ய முன்மொழியப்பட்டது. "அளவுரு. gitlab-rails/audit_json.log பதிவில் உள்ளீடுகளைச் சரிபார்த்து, கடவுச்சொல்லைக் கட்டுப்படுத்தி#meta.caller.id இல் உருவாக்கவும் மற்றும் இலக்கு_விவரங்கள் தொகுதியில் உள்ள பல முகவரிகளின் வரிசையைக் குறிக்கவும். பயனர் இரு காரணி அங்கீகாரத்தை இயக்கினால் தாக்குதலை முடிக்க முடியாது.
இரண்டாவது பாதிப்பு, CVE-2023-5356, ஸ்லாக் மற்றும் மேட்டர்மோஸ்ட் சேவைகளுடன் ஒருங்கிணைப்பதற்கான குறியீட்டில் உள்ளது, மேலும் சரியான அங்கீகாரச் சரிபார்ப்பு இல்லாததால் மற்றொரு பயனரின் கீழ் /-கட்டளைகளைச் செயல்படுத்த உங்களை அனுமதிக்கிறது. சிக்கலுக்கு 9.6 இல் 10 தீவிர நிலை ஒதுக்கப்பட்டுள்ளது. புதிய பதிப்புகள் குறைவான ஆபத்தான (7.6 இல் 10) பாதிப்பையும் (CVE-2023-4812) நீக்குகிறது, இது முன்னர் அங்கீகரிக்கப்பட்டவற்றில் மாற்றங்களைச் சேர்ப்பதன் மூலம் குறியீட்டு உரிமையாளர்களின் ஒப்புதலைத் தவிர்க்க உங்களை அனுமதிக்கிறது. ஒன்றிணைக்கும் கோரிக்கை.
அடையாளம் காணப்பட்ட பாதிப்புகள் பற்றிய விரிவான தகவல்கள் திருத்தம் வெளியிடப்பட்ட 30 நாட்களுக்குப் பிறகு வெளியிட திட்டமிடப்பட்டுள்ளது. HackerOne இன் பாதிப்புக்கான சலுகைத் திட்டத்தின் ஒரு பகுதியாக இந்த பாதிப்புகள் GitLab க்கு சமர்ப்பிக்கப்பட்டன.
ஆதாரம்: opennet.ru