GitLab, işbirliğine dayalı geliştirme platformu 15.3.2, 15.2.4 ve 15.1.6'da, kimliği doğrulanmış bir kullanıcının uzaktan kod yürütmesine olanak tanıyan kritik bir güvenlik açığını (CVE-2022-2992) düzelten bir sonraki düzeltici güncelleme serisini yayınladı. sunucu. Bir hafta önce düzeltilen CVE-2022-2884 güvenlik açığı gibi, API'de GitHub hizmetinden veri içe aktarmaya yönelik yeni bir sorun var. Güvenlik açığı, diğer şeylerin yanı sıra, GitHub'dan içe aktarma kodundaki ilk güvenlik açığının giderildiği 15.3.1, 15.2.3 ve 15.1.5 sürümlerinde kendini gösterir.
Operasyon detayları henüz verilmedi. Güvenlik açığı, HackerOne'ın güvenlik açığı ödül programının bir parçası olarak GitLab'a gönderildi, ancak önceki sayıdan farklı olarak başka bir katılımcı tarafından tanımlandı. Geçici bir çözüm olarak, yöneticiye GitHub'dan içe aktarma özelliğini devre dışı bırakması önerilir (GitLab web arayüzünde: "Menü" -> "Yönetici" -> "Ayarlar" -> "Genel" -> "Görünürlük ve erişim kontrolleri" -> "Kaynakları içe aktar" -> "GitHub"ı devre dışı bırakın).
Ek olarak, önerilen güncellemelerde ikisi tehlikeli olarak işaretlenen, on tanesi orta önem düzeyine atanan ve ikisi tehlikesiz olarak işaretlenen 14 güvenlik açığı daha giderildi. Şunlar tehlikeli olarak kabul edilir: Renk etiketlerinin değiştirilmesi yoluyla diğer kullanıcılara gösterilen sayfalara kendi JavaScript kodunuzu eklemenize izin veren CVE-2022-2865 güvenlik açığı ve ayrıca CVE-2022-2527 güvenlik açığı Olay ölçeği zaman çizelgesindeki açıklama alanı aracılığıyla içeriğinizi değiştirmek mümkündür). Orta önemdeki güvenlik açıkları, esas olarak hizmet reddi olasılığıyla ilgilidir.
Kaynak: opennet.ru