GitLab, கூட்டு வளர்ச்சியை ஒழுங்கமைப்பதற்கான அதன் தளத்திற்கு அடுத்த தொடர் திருத்தம் புதுப்பிப்புகளை வெளியிட்டுள்ளது - 15.3.2, 15.2.4 மற்றும் 15.1.6, இது ஒரு முக்கியமான பாதிப்பை (CVE-2022-2992) நீக்குகிறது, இது அங்கீகரிக்கப்பட்ட பயனரை தொலைநிலையில் குறியீட்டை இயக்க அனுமதிக்கிறது. சர்வரில். ஒரு வாரத்திற்கு முன்பு சரி செய்யப்பட்ட CVE-2022-2884 பாதிப்பைப் போலவே, GitHub சேவையிலிருந்து தரவை இறக்குமதி செய்வதற்கான API இல் புதிய சிக்கல் உள்ளது. 15.3.1, 15.2.3 மற்றும் 15.1.5 வெளியீடுகளிலும் பாதிப்பு தோன்றுகிறது, இது GitHub இலிருந்து இறக்குமதி குறியீட்டில் முதல் பாதிப்பை சரிசெய்தது.
செயல்பாட்டு விவரங்கள் இன்னும் வழங்கப்படவில்லை. HackerOne இன் வால்னரபிலிட்டி பவுண்டி திட்டத்தின் ஒரு பகுதியாக பாதிப்பு பற்றிய தகவல் GitLab க்கு சமர்ப்பிக்கப்பட்டது, ஆனால் முந்தைய பிரச்சனை போலல்லாமல், இது மற்றொரு பங்கேற்பாளரால் அடையாளம் காணப்பட்டது. ஒரு தீர்வாக, நிர்வாகி GitHub இலிருந்து இறக்குமதி செயல்பாட்டை முடக்க பரிந்துரைக்கப்படுகிறது (GitLab இணைய இடைமுகத்தில்: "மெனு" -> "நிர்வாகம்" -> "அமைப்புகள்" -> "பொது" -> "தெரிவு மற்றும் அணுகல் கட்டுப்பாடுகள்" - > "இறக்குமதி ஆதாரங்கள்" -> "GitHub" ஐ முடக்கவும்).
கூடுதலாக, முன்மொழியப்பட்ட புதுப்பிப்புகள் மேலும் 14 பாதிப்புகளை சரிசெய்கின்றன, அவற்றில் இரண்டு ஆபத்தானவை எனக் குறிக்கப்பட்டுள்ளன, பத்து நடுத்தர அளவிலான ஆபத்தில் ஒதுக்கப்பட்டுள்ளன, மேலும் இரண்டு தீங்கற்றதாகக் குறிக்கப்பட்டுள்ளன. பின்வருபவை ஆபத்தானவையாக அங்கீகரிக்கப்பட்டுள்ளன: பாதிப்பு CVE-2022-2865, இது வண்ண லேபிள்களைக் கையாளுவதன் மூலம் மற்ற பயனர்களுக்குக் காண்பிக்கப்படும் பக்கங்களில் உங்கள் சொந்த JavaScript குறியீட்டைச் சேர்க்க உங்களை அனுமதிக்கிறது, அத்துடன் பாதிப்பு CVE-2022-2527, இது சாத்தியமாக்குகிறது சம்பவங்கள் அளவிலான காலவரிசையில் உள்ள விளக்கப் புலத்தின் மூலம் உங்கள் உள்ளடக்கத்தை மாற்றவும்). மிதமான தீவிரத்தன்மை பாதிப்புகள் முதன்மையாக சேவை மறுப்பு சாத்தியத்துடன் தொடர்புடையவை.
ஆதாரம்: opennet.ru