Навсозиҳои ислоҳкунанда ба платформаи рушди муштараки GitLab 14.8.2, 14.7.4 ва 14.6.5 осебпазирии муҳимро (CVE-2022-0735) аз байн мебарад, ки ба корбари беиҷозат имкон медиҳад, токенҳои сабти номро дар GitLab Runner, ки барои занг задан ба коркардкунандагон истифода мешавад, истихроҷ кунад. ҳангоми сохтани коди лоиҳа дар системаи муттаҳидсозии пайваста. Ҳанӯз тафсилот дода нашудааст, танҳо он ки мушкилот дар натиҷаи ихроҷи иттилоот ҳангоми истифодаи фармонҳои Quick Actions ба вуҷуд омадааст.
Ин масъаларо кормандони GitLab муайян кардаанд ва ба версияҳои 12.10 то 14.6.5, 14.7 то 14.7.4 ва 14.8 то 14.8.2 таъсир мерасонад. Ба корбароне, ки насбҳои фармоишии GitLab-ро нигоҳ медоранд, тавсия дода мешавад, ки навсозиро насб кунанд ё ямоқи онро ҳарчи зудтар татбиқ кунанд. Масъала бо роҳи маҳдуд кардани дастрасӣ ба фармонҳои Quick Actions танҳо ба корбароне, ки иҷозати навиштан доранд, ҳал карда шуд. Пас аз насб кардани навсозӣ ё часбҳои инфиродии "токен-префикс", аломатҳои сабти ном дар Runner, ки қаблан барои гурӯҳҳо ва лоиҳаҳо сохта шуда буданд, аз нав барқарор ва барқарор карда мешаванд.
Илова ба осебпазирии интиқодӣ, версияҳои нав инчунин 6 осебпазирии камтар хатарнокро бартараф мекунанд, ки метавонанд ба як корбари беимтиёз корбарони дигарро ба гурӯҳҳо илова кунанд, маълумоти бардурӯғ ба корбарон тавассути таҳрири мундариҷаи Snippets, ихроҷи тағирёбандаҳои муҳити зист тавассути усули интиқоли почтаи электронӣ, муайян кардани ҳузури корбарон тавассути GraphQL API, ихроҷи паролҳо ҳангоми инъикоси анборҳо тавассути SSH дар ҳолати кашидан, ҳамлаи DoS тавассути системаи пешниҳоди шарҳҳо.
Манбаъ: opennet.ru