Навсозиҳои ислоҳкунанда дар платформа барои ташкили рушди муштарак нашр шуданд - GitLab 16.7.2, 16.6.4 ва 16.5.6, ки ду осебпазирии муҳимро ислоҳ мекунанд. Аввалин осебпазирӣ (CVE-2023-7028), ки дараҷаи максималии вазнинӣ (10 аз 10) таъин шудааст, ба шумо имкон медиҳад, ки тавассути коркарди варақаи барқарорсозии пароли фаромӯшшуда ҳисоби ягон каси дигарро мусодира кунед. Ин осебпазирӣ аз имкони фиристодани паёми электронӣ бо рамзи барқароркунии парол ба суроғаҳои почтаи электронии тасдиқнашуда ба вуҷуд омадааст. Мушкилот пас аз нашри GitLab 16.1.0, ки қобилияти фиристодани рамзи барқароркунии паролро ба суроғаи почтаи электронии нусхаи тасдиқнашуда ҷорӣ кардааст, пайдо мешавад.
Барои санҷидани далелҳои созиши системаҳо, пешниҳод карда мешавад, ки дар gitlab-rails/production_json.log мавҷудияти дархостҳои HTTP ба коркардкунандаи /users/password, ки массиви якчанд мактубҳоро дар "params.value.email" нишон медиҳад, арзёбӣ карда шавад. ” параметр. Инчунин тавсия дода мешавад, ки воридотҳоро дар журнали gitlab-rails/audit_json.log бо арзиши PasswordsController#create дар meta.caller.id ва бо нишон додани массиви якчанд суроғаҳо дар блоки target_details тафтиш кунед. Агар корбар аутентификатсияи ду-омилро фаъол созад, ҳамла анҷом дода намешавад.
Зангирии дуюм, CVE-2023-5356, дар коди ҳамгироӣ бо хидматҳои Slack ва Mattermost мавҷуд аст ва ба шумо имкон медиҳад, ки /-фармонҳоро дар зери корбари дигар бо сабаби набудани санҷиши дурусти иҷозат иҷро кунед. Ба ин масъала дараҷаи вазнинии 9.6 аз 10 дода шудааст. Версияҳои нав инчунин осебпазирии камтар хатарнокро (7.6 аз 10) бартараф мекунанд (CVE-2023-4812), ки ба шумо имкон медиҳад, ки тавассути илова кардани тағирот ба XNUMX-и қаблӣ аз тасдиқи CODEOWNERS-ро канорагирӣ кунед. дархости якҷоя.
Қарор аст, ки маълумоти муфассал дар бораи осебпазириҳои муайяншуда пас аз 30 рӯз пас аз нашри ислоҳ ифшо шавад. Ин осебпазириҳо ба GitLab ҳамчун як қисми барномаи мукофоти осебпазирии HackerOne пешниҳод карда шуданд.
Манбаъ: opennet.ru