GitLab hamkorlikda ishlab chiqishni tashkil etish uchun platformasi uchun tuzatuvchi yangilanishlarning navbatdagi seriyasini e'lon qildi - 15.3.2, 15.2.4 va 15.1.6, bu autentifikatsiya qilingan foydalanuvchiga kodni masofadan turib bajarish imkonini beruvchi muhim zaiflikni (CVE-2022-2992) bartaraf etadi. serverda. Bir hafta oldin tuzatilgan CVE-2022-2884 zaifligi kabi, GitHub xizmatidan maʼlumotlarni import qilish uchun APIda yangi muammo mavjud. Zaiflik 15.3.1, 15.2.3 va 15.1.5 relizlarida ham paydo bo‘ldi, bu GitHub’dan import kodidagi birinchi zaiflikni tuzatdi.
Operatsion tafsilotlari hozircha taqdim etilmagan. Zaiflik haqidagi ma’lumotlar GitLab’ga HackerOne’ning zaiflik uchun mukofot dasturi doirasida taqdim etilgan, biroq avvalgi muammodan farqli o‘laroq, u boshqa ishtirokchi tomonidan aniqlangan. Vaqtinchalik yechim sifatida administratorga GitHub’dan import funksiyasini o‘chirib qo‘yish tavsiya etiladi (GitLab veb-interfeysida: “Menyu” -> “Admin” -> “Sozlamalar” -> “Umumiy” -> “Ko‘rinish va kirishni boshqarish” - > "Manbalarni import qilish" -> "GitHub" ni o'chiring).
Bundan tashqari, taklif etilayotgan yangilanishlar yana 14 ta zaiflikni tuzatadi, ulardan ikkitasi xavfli, o‘ntasi o‘rtacha xavf darajasi va ikkitasi zararsiz deb belgilangan. Quyidagilar xavfli deb tan olingan: CVE-2022-2865 zaifligi, bu sizga rangli yorliqlarni manipulyatsiya qilish orqali boshqa foydalanuvchilarga ko'rsatilgan sahifalarga o'z JavaScript kodingizni qo'shish imkonini beradi, shuningdek CVE-2022-2527 zaifligi, bu esa Hodisalar shkalasi Xronologiyasidagi tavsif maydoni orqali tarkibingizni almashtiring). O'rtacha jiddiy zaifliklar, birinchi navbatda, xizmat ko'rsatishni rad etish ehtimoli bilan bog'liq.
Manba: opennet.ru