تعاون پر مبنی ترقیاتی پلیٹ فارم GitLab 14.8.2, 14.7.4 اور 14.6.5 کی اصلاحی اپ ڈیٹس ایک اہم خطرے (CVE-2022-0735) کو ختم کرتی ہیں جو ایک غیر مجاز صارف کو GitLab رنر کے استعمال شدہ کالر کے لیے رجسٹریشن ٹوکن نکالنے کی اجازت دیتی ہے، مسلسل انضمام کے نظام میں پروجیکٹ کوڈ بناتے وقت۔ تفصیلات ابھی فراہم نہیں کی گئی ہیں، صرف یہ کہ مسئلہ معلومات کے رساو کی وجہ سے ہوتا ہے جب کوئیک ایکشن کمانڈز استعمال کرتے ہیں۔
اس مسئلے کی شناخت GitLab کے عملے نے کی تھی اور یہ ورژن 12.10 سے 14.6.5، 14.7 سے 14.7.4، اور 14.8 سے 14.8.2 تک کو متاثر کرتی ہے۔ اپنی مرضی کے مطابق GitLab تنصیبات کو برقرار رکھنے والے صارفین کو مشورہ دیا جاتا ہے کہ وہ اپ ڈیٹ انسٹال کریں یا جلد از جلد پیچ کو لاگو کریں۔ کوئیک ایکشن کمانڈز تک رسائی کو صرف تحریری اجازت کے حامل صارفین تک محدود کرکے مسئلہ حل کیا گیا۔ اپ ڈیٹ یا انفرادی "ٹوکن-پریفکس" پیچ کو انسٹال کرنے کے بعد، رنر میں رجسٹریشن ٹوکنز جو پہلے گروپس اور پروجیکٹس کے لیے بنائے گئے تھے، ری سیٹ اور دوبارہ تخلیق کیے جائیں گے۔
اہم خطرے کے علاوہ، نئے ورژن 6 کم خطرناک خطرات کو بھی ختم کرتے ہیں جو کہ ایک غیر مراعات یافتہ صارف کو دوسرے صارفین کو گروپوں میں شامل کرنے، اسنیپٹس کے مواد میں ہیرا پھیری کے ذریعے صارفین کی غلط معلومات، سینڈ میل ڈیلیوری کے طریقہ کار کے ذریعے ماحولیاتی متغیرات کا اخراج، گراف کیو ایل API کے ذریعے صارفین کی موجودگی کا تعین، پل موڈ میں ایس ایس ایچ کے ذریعے ریپوزٹریوں کی عکس بندی کرتے وقت پاس ورڈ کا لیک ہونا، تبصرہ جمع کرانے کے نظام کے ذریعے DoS حملہ۔
ماخذ: opennet.ru